Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Gérer les GuardDuty résultats d'Amazon
<a name="findings_management"></a>

GuardDuty propose plusieurs fonctionnalités importantes pour vous aider à trier, stocker et gérer vos résultats. Ces fonctionnalités vous aideront à adapter les résultats à votre environnement spécifique, à réduire le bruit généré par les résultats de faible valeur et à vous concentrer sur les menaces qui pèsent sur votre AWS environnement spécifique. Consultez les rubriques de cette page pour comprendre comment utiliser ces fonctionnalités afin d'accroître la valeur des résultats de sécurité dans votre environnement.

**Rubriques :**

[Tableau de bord récapitulatif sur Amazon GuardDuty](guardduty-summary.md)  
Découvrez les composants du tableau de bord récapitulatif disponible dans la GuardDuty console.

[Filtrer les résultats dans GuardDuty](guardduty_filter-findings.md)  
Découvrez comment filtrer les GuardDuty résultats en fonction des critères que vous spécifiez.

[Règles de suppression dans GuardDuty](findings_suppression-rule.md)  
Découvrez comment filtrer automatiquement les résultats qui vous sont GuardDuty signalés par le biais de règles de suppression. Les règles de suppression archivent automatiquement les résultats en fonction de filtres.

[Personnalisation de la détection des menaces à l’aide de listes d’entités et de listes d’adresses IP](guardduty_upload-lists.md)  
Personnalisez le périmètre GuardDuty de surveillance à l'aide de listes d'adresses IP et de listes de menaces basées sur des adresses IP routables publiquement. Les listes d'adresses IP fiables empêchent de générer des résultats non liés au DNS à partir d'adresses IP que vous considérez comme fiables, tandis que les listes Intel sur les menaces vous alerteront en cas d'activité définie par l'utilisateur IPs. GuardDuty 

[Exportation des résultats générés vers Amazon S3](guardduty_exportfindings.md)  
Exportez les résultats générés vers un compartiment Amazon S3 afin de pouvoir conserver les dossiers au-delà de la période de conservation de 90 jours prévue GuardDuty pour. Utilisez ces données historiques pour suivre les activités suspectes potentielles sur votre compte et évaluer si les mesures correctives recommandées ont été efficaces.

[Traitement des GuardDuty résultats avec Amazon EventBridge](guardduty_findings_eventbridge.md)  
Configurez des notifications automatiques pour les GuardDuty résultats obtenus par le biais d' EventBridge événements Amazon. Vous pouvez également automatiser d'autres tâches EventBridge pour vous aider à répondre aux résultats. 

[Comprendre CloudWatch les journaux et les raisons du manque de ressources lors de l'analyse Malware Protection for EC2](malware-protection-auditing-scan-logs.md)  
Découvrez comment auditer les CloudWatch journaux de protection contre les GuardDuty programmes malveillants pour EC2 et quelles sont les raisons pour lesquelles votre instance Amazon EC2 ou vos volumes Amazon EBS concernés peuvent avoir été ignorés pendant le processus de numérisation. 

[Signalement des faux positifs dans Malware Protection for EC2](malware-protection-false-positives.md)  
Découvrez comment signaler les détections potentielles de fausses menaces positives dans Malware Protection for EC2.

[Signaler le résultat de l'analyse d'un objet S3 comme faux positif dans Malware Protection for S3Signaler un résultat d'analyse d'objets S3 faussement positif](report-malware-protection-s3-false-positives.md)  
Découvrez comment signaler les détections potentielles de fausses menaces positives dans Malware Protection for S3.

[Signalement de faux positifs dans Malware Protection for Backup](malware-protection-backup-false-positives.md)  
Découvrez comment signaler les détections potentielles de faux positifs dans Malware Protection for Backup.

# Tableau de bord récapitulatif sur Amazon GuardDuty
<a name="guardduty-summary"></a>

Le tableau de bord GuardDuty **récapitulatif** fournit une vue agrégée des GuardDuty résultats générés Compte AWS dans votre compte actuel Région AWS. 

Si vous utilisez un compte GuardDuty administrateur, le tableau de bord fournit des statistiques et des données agrégées pour votre compte et les comptes des membres de votre organisation. 

**Affichage du tableau de bord récapitulatif**

1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   GuardDuty affiche le tableau de bord **récapitulatif** par défaut lorsque vous ouvrez la console. 

1. Sur la page **Résumé**, choisissez la région souhaitée dans le sélecteur Région AWS de région situé dans le coin supérieur droit de la console.

1. Dans le menu de sélection de la plage de dates, choisissez la plage de dates pour laquelle vous souhaitez afficher le résumé. Par défaut, le tableau de bord affiche les données du jour actuel, **Today**.
**Note**  
Si aucun résultat n'a été généré pendant la période sélectionnée, le tableau de bord ne contiendra aucune donnée à afficher. Vous pouvez actualiser le tableau de bord ou ajuster la plage de dates.

**Topics**
+ [Présentation de](#understanding-guardduty-summary-overview)
+ [Résultats](#understanding-guardduty-summary-findings-widget)
+ [Types de résultat les plus courants](#understanding-guardduty-summary-most-common-finding-types)
+ [Résultats par gravité](#understanding-guardduty-summary-findings-by-sev)
+ [Comptes contenant le plus de résultats](#understanding-guardduty-summary-account-with-findings)
+ [Ressources contenant des résultats](#understanding-guardduty-summary-resources-with-findings)
+ [Résultats les moins fréquents](#understanding-guardduty-summary-least-occurring-findings)
+ [Couverture des plans de protection](#understanding-guardduty-summary-protection-plans-coverage)

## Présentation de
<a name="understanding-guardduty-summary-overview"></a>

Cette section fournit les données suivantes :
+ Séquences d'attaque : indique le nombre de **séquences** d' GuardDuty attaques détectées sur votre compte dans la région actuelle.

  GuardDuty détecte les attaques potentielles en plusieurs étapes sur votre compte. Vous pouvez sélectionner le *numéro* sous **Séquences d'attaques** pour afficher ses détails sur la **page Résultats**.
+ **Total des résultats** : indique le nombre total de résultats générés sur votre compte dans la région actuelle. Cela inclut à la fois les résultats individuels et les résultats des séquences d'attaque.
+ **Ressources contenant des résultats** : indique le nombre de ressources associées à une découverte et potentiellement compromises. 
+ **Comptes contenant des résultats** : indique le nombre de comptes dans lesquels au moins un résultat a été généré. Si vous êtes un compte autonome, la valeur de ce champ est **1**. 

Pour les plages de temps **Les 7 derniers jours** et **Les 30 derniers jours**, le volet **Présentation** peut afficher la différence en pourcentage entre les résultats générés semaine après semaine (WoW) ou mois par mois (MoM), respectivement. Si aucun résultat n'a été généré au cours de la semaine ou du mois précédent, en l'absence de données à comparer, il se peut que la différence en pourcentage ne soit pas disponible. 

![\[Section de présentation dans le tableau de bord GuardDuty récapitulatif.\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/images/attack-sequence-summary-overview-console.png)


Si vous êtes un compte GuardDuty administrateur, tous ces champs fournissent les données résumées de tous les comptes membres de votre organisation.

## Résultats
<a name="understanding-guardduty-summary-findings-widget"></a>

Le widget **Résultats** affiche jusqu'à huit résultats principaux. Ces résultats sont répertoriés en fonction de leur niveau de gravité, les résultats *critiques* étant affichés en premier.

Par défaut, vous pouvez consulter tous les résultats. Pour afficher uniquement les données relatives aux résultats des séquences d'attaque, activez l'option **Séquences d'attaque principales uniquement**.

Dans cette liste, vous pouvez sélectionner n'importe quelle découverte pour en afficher les détails.

![\[Widget de résultats dans le tableau de bord GuardDuty récapitulatif.\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/images/attack-sequence-summary-finding-widget-console.png)


## Types de résultat les plus courants
<a name="understanding-guardduty-summary-most-common-finding-types"></a>

Cette section fournit un graphique circulaire illustrant les cinq types de résultats les plus courants générés dans la région actuelle. Lorsque vous survolez chaque secteur du graphique circulaire, vous pouvez observer les points suivants :
+ **Nombre de résultats** : indique le nombre de fois que ce résultat a été généré dans la plage de dates choisie.
+ **Gravité** : indique le niveau de gravité du résultat.
+ **Pourcentage** : indique la proportion de ce type de résultat par rapport au total.
+ **Dernière génération** : indique le temps écoulé depuis la dernière détection de ce type de recherche.

## Résultats par gravité
<a name="understanding-guardduty-summary-findings-by-sev"></a>

Cette section affiche un graphique à barres indiquant le nombre total de résultats sur la plage de dates sélectionnée. Le graphique ventile les résultats par gravité (*critique*, *élevé*, *moyen* et *faible*) et vous aide à visualiser le nombre de résultats à des dates spécifiques comprises dans la fourchette.

Pour afficher les chiffres pour chaque niveau de gravité à une date précise, passez le curseur sur la barre correspondante dans le graphique.

## Comptes contenant le plus de résultats
<a name="understanding-guardduty-summary-account-with-findings"></a>

Cette section fournit les données suivantes :
+ **Compte** : indique l' Compte AWS identifiant à partir duquel le résultat a été généré.
+ **Nombre de résultats** : indique le nombre de fois qu'un résultat a été généré pour cet ID de compte.
+ **Dernière génération** : indique le temps écoulé depuis la dernière génération de ce type de résultat pour cet ID de compte.
+ **Filtre de gravité** : par défaut, les données sont affichées pour les types de détection de gravité élevée. Les options possibles pour ce champ sont **toutes les** suivantes : **gravité totale, gravité critique**, **gravité élevée** et **gravité moyenne**.

## Ressources contenant des résultats
<a name="understanding-guardduty-summary-resources-with-findings"></a>

Cette section fournit les données suivantes :
+ **Ressource** : indique le type de ressource potentiellement concerné et si cette ressource appartient à votre compte, vous pouvez accéder au lien rapide pour afficher les détails de la ressource. Si vous êtes GuardDuty administrateur, vous pouvez consulter les détails de la ressource potentiellement affectée en accédant à la GuardDuty console avec les informations d'identification du compte membre propriétaire.
+ **Compte** : indique l' Compte AWS ID auquel appartient cette ressource.
+ **Nombre de résultats** : indique le nombre de fois que cette ressource a été associée à un résultat.
+ **Dernière génération** : indique le temps écoulé depuis la dernière génération d'un type de résultat associé à cette ressource.
+ **Filtre de type de ressource** : par défaut, les données sont affichées pour tous les types de ressources. En utilisant ce filtre, vous pouvez choisir d'afficher les données d'un type de ressource spécifique, tel que **Instance **AccessKey****, **Lambda**, etc. 
+ **Filtre de gravité** : par défaut, les données sont affichées pour **Toutes les sévérités**. En utilisant ce filtre, vous pouvez choisir d'afficher les données relatives à d'autres niveaux de gravité. Les options possibles sont les suivantes : **gravité critique****, gravité élevée**, **gravité moyenne** et **gravité totale**.

## Résultats les moins fréquents
<a name="understanding-guardduty-summary-least-occurring-findings"></a>

Cette section met en évidence les types qui se produisent rarement dans votre AWS environnement. Ce widget est conçu pour vous aider à identifier et à étudier les modèles de menaces émergents potentiels.

Ce widget affiche les données suivantes :
+ **Type de recherche** : affiche le nom du type de recherche.
+ **Nombre de résultats** : indique le nombre de fois que ce type de résultat a été généré dans la plage de temps choisie.
+ **Dernière génération** : indique le temps écoulé depuis la dernière génération de ce type de résultat.
+ **Filtre de gravité** : par défaut, les données sont affichées pour les types de détection de gravité élevée. Les options possibles pour ce champ sont **Sévérité critique**, **Sévérité élevée**, **Sévérité moyenne** et **Sévérité totale**.

## Couverture des plans de protection
<a name="understanding-guardduty-summary-protection-plans-coverage"></a>

Cette section affiche les statistiques relatives aux comptes des membres de votre organisation. Il indique le nombre de comptes membres qui ont été activés GuardDuty (détection des menaces de base) dans la région actuelle. Seul un GuardDuty administrateur délégué peut consulter les statistiques des comptes des membres au sein de son organisation. Lorsque vous créez une nouvelle AWS organisation, la génération des statistiques pour l'ensemble de l'organisation peut prendre jusqu'à 24 heures.

**Comment utiliser ce widget**
+ **Configuration** : Si aucun plan de protection n'est configuré, choisissez **Configurer** dans la colonne **Actions**.
+ **Afficher les comptes activés** : passez le curseur sur la barre dans la colonne **Comptes activés** pour voir combien de comptes ont activé chaque plan de protection. Pour consulter davantage les détails du compte, sélectionnez la barre verte, puis choisissez **Afficher les comptes**.  
![\[Consultez l'état de l'activation des plans de protection pour les comptes des membres dans le tableau de bord GuardDuty récapitulatif.\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/images/guardduty-summary-protection-plans-console.png)

# Filtrer les résultats dans GuardDuty
<a name="guardduty_filter-findings"></a>

Un filtre de recherche vous permet de visualiser les résultats correspondant aux critères que vous spécifiez et de filtrer les résultats non concordants. Vous pouvez facilement créer des filtres de recherche à l'aide de la GuardDuty console Amazon, ou vous pouvez les créer à l'aide de l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html)API à l'aide de JSON. Consultez les sections suivantes pour comprendre comment créer un filtre dans la console. Pour utiliser ces filtres afin d'archiver automatiquement les résultats entrants, veuillez consulter [Règles de suppression dans GuardDuty](findings_suppression-rule.md).

Lorsque vous créez des filtres, tenez compte de la liste suivante :
+ Vous pouvez spécifier un minimum d'un attribut et un maximum de 50 attributs comme critères pour un filtre particulier. 
+ Lorsque vous utilisez l'opérateur **Equals** ou **Does not equals** pour filtrer une valeur d'attribut, telle que l'ID de compte, vous pouvez spécifier un maximum de 50 valeurs.
+ Chaque attribut de critères de filtre est évalué en tant qu'opérateur `AND`. Plusieurs valeurs pour le même attribut sont évaluées comme `AND/OR`.
+ Pour plus d'informations sur le nombre maximal de filtres enregistrés que vous pouvez créer Compte AWS dans chaque filtre Région AWS, voir[GuardDuty quotas](guardduty_limits.md).

Les sections suivantes fournissent des instructions sur la façon de créer et d'enregistrer des filtres à l'aide de GuardDuty la console, de l'API et de la CLI. Choisissez votre méthode d'accès préférée pour continuer.

## Création et enregistrement d'un ensemble de filtres dans la GuardDuty console
<a name="filter_console"></a>

Les filtres de recherche peuvent être créés et testés via la GuardDuty console. Vous pouvez enregistrer les filtres créés via la console pour les utiliser dans les règles de suppression ou les futures opérations de filtrage. Un filtre est composé d'au moins un critère de filtre, qui consiste en un attribut de filtre associé à au moins une valeur.

**Pour créer et enregistrer des critères de filtre (console)**

1. Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Dans le volet de navigation de gauche, sélectionnez **Findings**.

1. Sur la page **Résultats**, sélectionnez la barre *Filtrer les résultats* à côté du menu **Règles enregistrées**. Cela affichera une liste étendue de **filtres de propriétés**.  
![\[Sélection de filtres de propriétés pour filtrer les résultats dans la GuardDuty console.\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/images/guardduty-findings-page-console.png)

1. Dans la liste étendue des filtres, sélectionnez un attribut en fonction duquel vous souhaitez filtrer le tableau des résultats.

   Par exemple, pour afficher les résultats pour lesquels la ressource potentiellement affectée est un **S3Bucket**, choisissez le type de **ressource**. 

1. Pour **les opérateurs**, choisissez-en un qui vous aidera à filtrer les résultats pour obtenir le résultat souhaité. Pour continuer l'exemple de l'étape précédente, choisissez **Type de ressource =**. Cela affichera une liste des types de ressources dans GuardDuty.   
![\[Sélection de l'opérateur égal ou non égal pour filtrer les résultats dans GuardDuty la console.\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/images/guardduty-findings-page-filters-operator-console.png)

   Si votre cas d'utilisation nécessite l'exclusion de résultats spécifiques, vous pouvez choisir **Does not equal** or **\$1 **= opérateur.

1. Spécifiez la valeur du filtre de propriétés sélectionné. Si nécessaire, choisissez **Appliquer**. Pour continuer l'exemple de l'étape précédente, vous pouvez choisir **S3Bucket**.

   Cela affichera les résultats correspondant aux filtres appliqués.

1. Pour ajouter plusieurs critères de filtre, répétez les étapes 3 à 6. 

   Pour obtenir la liste complète des attributs, voir[Filtres de propriétés dans GuardDuty](#filter_criteria).

1. 

**(Facultatif) enregistrez les attributs et valeurs spécifiés sous forme de filtres**

   Pour appliquer à nouveau cette combinaison de filtres à l'avenir, vous pouvez enregistrer les attributs spécifiés et leurs valeurs sous forme de jeu de filtres.

   1. Après avoir créé un critère de filtre avec un ou plusieurs filtres de propriétés, sélectionnez la *flèche* dans le menu **Effacer les filtres**.  
![\[Sauvegarde d'un filtre défini dans GuardDuty la console pour pouvoir filtrer à nouveau les résultats.\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/images/guardduty-findings-page-filters-console.png)

   1. Entrez le **nom** du jeu de filtres. Le nom doit comporter entre 3 et 64 caractères. Les caractères valides sont a-z, A-Z, 0-9, le point (.), le trait d’union (-) et le trait de soulignement (\$1).

   1. La **description** est facultative. Si vous entrez une description, elle peut comporter jusqu'à 512 caractères.

   1. Choisissez **Créer**.

## Création et enregistrement d'un ensemble de filtres à l'aide de l' GuardDuty API et de la CLI
<a name="guardduty-creating-filters-using-api-cli"></a>

Vous pouvez créer et tester les filtres de recherche à l'aide des commandes API ou CLI. Un filtre est composé d'au moins un critère de filtre, qui consiste en un attribut de filtre associé à au moins une valeur. Vous pouvez enregistrer des filtres pour créer [Règles de suppression](findings_suppression-rule.md) ou effectuer d'autres opérations de filtrage ultérieurement. 

**Pour créer des filtres de recherche à l'aide de l'API/CLI**
+ Exécutez l'[CreateFilter](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html)API en utilisant l'ID du détecteur régional de l' Compte AWS endroit où vous souhaitez créer un filtre. 

  `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
+ Vous pouvez également utiliser la [CLI create-filter](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/create-filter.html) pour créer et enregistrer le filtre. Vous pouvez utiliser un ou plusieurs critères de filtre à partir de[Filtres de propriétés dans GuardDuty](#filter_criteria).

  Utilisez les exemples suivants en remplaçant les valeurs d'espace réservé indiquées en rouge.  
**Exemple 1** : créer un nouveau filtre pour afficher tous les résultats correspondant à un type de recherche spécifique  
L'exemple suivant crée un filtre qui correspond à tous les `PortScan` résultats d'une instance créée à partir d'une image spécifique. Les valeurs des espaces réservés sont affichées en rouge. Remplacez ces valeurs par des valeurs adaptées à votre compte. Remplacez-le par l'identifiant *12abc34d567e8fa901bc2d34EXAMPLE* de votre détecteur régional, par exemple.  

  ```
  aws guardduty create-filter \
  --detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
  --name FilterExampleName \
  --finding-criteria '{"Criterion": {"type": {"Equals": ["Recon:EC2/Portscan"]}, "resource.instanceDetails.imageId": {"Equals":["ami-0a7a207083example"]}} }'
  ```  
**Exemple 2** : créer un nouveau filtre pour afficher tous les résultats correspondant aux niveaux de gravité  
L'exemple suivant crée un filtre qui correspond à tous les résultats associés aux niveaux de `HIGH` gravité. Les valeurs des espaces réservés sont affichées en rouge. Remplacez ces valeurs par des valeurs adaptées à votre compte. Remplacez-le par l'identifiant *12abc34d567e8fa901bc2d34EXAMPLE* de votre détecteur régional, par exemple.  

  ```
  aws guardduty create-filter \
  --detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
  --name FilterExampleName \
  --finding-criteria '{"Criterion": {"severity": {"Equals": ["7", "8"]}} }'
  ```
+ Pour les API/CLI, [Niveaux de gravité des résultats](guardduty_findings-severity.md) ils sont représentés par des chiffres. Pour filtrer les résultats en fonction des niveaux de gravité, utilisez les valeurs suivantes :
  + Pour les niveaux de `LOW` gravité, utilisez `{ "severity": { "Equals": ["1", "2", "3"] } }`
  + Pour les niveaux de `MEDIUM` gravité, utilisez `{ "severity": { "Equals": ["4", "5", "6"] } }`
  + Pour les niveaux de `HIGH` gravité, utilisez `{ "severity": { "Equals": ["7", "8"] } }`
  + Pour les niveaux de `CRITICAL` gravité, utilisez `{ "severity": { "Equals": ["9", "10"] } }`
  + Pour les résultats présentant plusieurs niveaux de gravité, utilisez des valeurs d'espace réservé similaires à l'exemple suivant : `{ "severity": { "Equals": ["7", "8", "9", "10"] } }`

    Cet exemple montre les résultats présentant l'un `HIGH` ou l'autre des niveaux de `CRITICAL` gravité.
**Note**  
Si vous spécifiez un exemple avec une seule valeur numérique au lieu de toutes les valeurs numériques associées à un niveau de gravité, l'API et la CLI peuvent afficher les résultats filtrés. Lorsque vous utilisez cet ensemble de filtres enregistré dans la GuardDuty console, il ne fonctionnera pas comme prévu. Cela est dû au fait que la GuardDuty console considère les valeurs du filtre comme `CRITICAL``HIGH`,`MEDIUM`, et`LOW`. Par exemple, un filtre créé avec une commande CLI qui inclut `{ "severity": { "Equals": ["9"] } }` est censé afficher une sortie appropriée dans API/CLI. Toutefois, ce filtre enregistré inclut un niveau de gravité partiel lorsqu'il est utilisé dans la GuardDuty console et n'affichera pas le résultat attendu. Cela oblige l'API et la CLI à spécifier toutes les valeurs associées à chaque niveau de gravité.

## Filtres de propriétés dans GuardDuty
<a name="filter_criteria"></a>

Lorsque vous créez des filtres ou que vous triez des résultats à l'aide des opérations d'API, vous devez spécifier des critères de filtre au format JSON. Ces critères de filtre sont en corrélation avec le JSON détaillé d'un résultat. Le tableau suivant contient la liste des noms d'affichage de la console pour les attributs de filtre et leurs noms de champs JSON équivalents.


| Nom de champ de console | Nom de champ JSON | 
| --- | --- | 
| ID de compte | accountId | 
| ID de résultat | id | 
| Région | region | 
| Sévérité | severity Vous pouvez filtrer les types de résultats en fonction de leur niveau de gravité. Pour plus d'informations sur les valeurs de gravité, consultez[Niveaux de gravité des GuardDuty résultats](guardduty_findings-severity.md). Si vous l'utilisez `severity` avec API AWS CLI, ou CloudFormation, une valeur numérique lui est attribuée. Pour plus d'informations, consultez [FindingCriteria](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html#guardduty-CreateFilter-request-findingCriteria) dans le *Amazon GuardDuty * API Reference. | 
| Type de résultat | type | 
| Mis à jour le | updatedAt | 
| ID de clé d'accès | ressource. accessKeyDetails. accessKeyId | 
| ID principal | ressource. accessKeyDetails. Identifiant principal | 
| Nom d’utilisateur | ressource. accessKeyDetails.Nom d'utilisateur | 
| Type utilisateur | ressource. accessKeyDetails.Type d'utilisateur | 
| ID de profil d'instance IAM | Resource.InstanceDetails. iamInstanceProfile.id | 
| ID d’instance | resource.instanceDetails.instanceId | 
| ID d'image d'instance | resource.instanceDetails.imageId | 
| Clé de balise d'instance | resource.instanceDetails.tags.key | 
| Valeur de balise d'instance | resource.instanceDetails.tags.value | 
| IPv6 adresse | resource.instanceDetails.networkInterfaces.ipv6Addresses | 
|  IPv4 Adresse privée | Resource.InstanceDetails.Interfaces réseau. privateIpAddresses. privateIpAddress | 
| Nom DNS public | Resource.InstanceDetails.Interfaces réseau. publicDnsName | 
| Adresse IP publique | resource.instanceDetails.networkInterfaces.publicIp | 
| ID du groupe de sécurité | resource.instanceDetails.networkInterfaces.securityGroups.groupId | 
| Nom du groupe de sécurité | resource.instanceDetails.networkInterfaces.securityGroups.groupName | 
| ID de sous-réseau (subnet) | resource.instanceDetails.networkInterfaces.subnetId | 
| ID du VPC | resource.instanceDetails.networkInterfaces.vpcId | 
| ARN d'Outpost | resource.instanceDetails.outpostARN | 
| Type de ressource | resource.resourceType | 
| Autorisations du compartiment | resource.s3 .publicAccess.EffectivePermission BucketDetails | 
| Nom du compartiment  | resource.s3 .name BucketDetails | 
| Clé de balise du compartiment | ressource.s3 .tags .key BucketDetails | 
| Valeur de balise de compartiment | ressource.s3 .tags .value BucketDetails | 
| Type de compartiment | ressource.s3 .type BucketDetails | 
| Type d'action | service.action.actionType | 
| API appelée | service.action. awsApiCallAction.API | 
| Type d'appelant d'API | service.action. awsApiCallAction. Type d'appelant | 
| Code d'erreur d'API | service.action. awsApiCallAction. Code d'erreur | 
| Ville de l'appelant d'API | service.action. awsApiCallAction. remoteIpDetails.ville.Nom de la ville | 
| Pays de l'appelant d'API | service.action. awsApiCallAction. remoteIpDetails.country.CountryName | 
| Adresse de l'appelant IPv4 de l'API | service.action. awsApiCallAction. remoteIpDetails.Adresse IP v4 | 
| Adresse de l'appelant IPv6 de l'API | service.action. awsApiCallAction. remoteIpDetailsAdresse IP V6 | 
| ID ASN de l'appelant d'API | service.action. awsApiCallAction. remoteIpDetails.organisation.asn | 
| Nom ASN de l'appelant d'API | service.action. awsApiCallAction. remoteIpDetails.Organisation.asnorg | 
| Nom du service de l'appelant d'API | service.action. awsApiCallAction.ServiceName | 
| Domaine de demande DNS | service.action. dnsRequestAction.domaine | 
| Suffixe de domaine de demande DNS | service.action. dnsRequestAction. domainWithSuffix | 
| Connexion réseau bloquée | service.action. networkConnectionAction.bloqué | 
| Direction de la connexion réseau | service.action. networkConnectionAction. Direction de connexion | 
| Port local de la connexion réseau | service.action. networkConnectionAction. localPortDetails.port | 
| Protocole de la connexion réseau | service.action. networkConnectionAction.protocole | 
| Ville de la connexion réseau | service.action. networkConnectionAction. remoteIpDetails.ville.Nom de la ville | 
| Pays de la connexion réseau | service.action. networkConnectionAction. remoteIpDetails.country.CountryName | 
|  IPv4 Adresse distante de connexion réseau | service.action. networkConnectionAction. remoteIpDetails.Adresse IP v4 | 
|  IPv6 Adresse distante de connexion réseau | service.action. networkConnectionAction. remoteIpDetailsAdresse IP V6 | 
| ID ASN de l'adresse IP distante de la connexion réseau | service.action. networkConnectionAction. remoteIpDetails.organisation.asn | 
| Nom ASN de l'adresse IP distante de la connexion réseau | service.action. networkConnectionAction. remoteIpDetails.Organisation.asnorg | 
| Port distant de la connexion réseau | service.action. networkConnectionAction. remotePortDetails.port | 
| Compte distant affilié | service.action. awsApiCallAction. remoteAccountDetails.affilié | 
| Adresse de l'appelant de l'API Kubernetes IPv4  | service.action. kubernetesApiCallAction. remoteIpDetails.Adresse IP v4 | 
| Adresse de l'appelant de l'API Kubernetes IPv6  | service.action. kubernetesApiCallAction. remoteIpDetailsAdresse IP V6 | 
| Espace de noms Kubernetes | service.action. kubernetesApiCallAction.Namespace | 
| ID ASN de l'appelant de l'API Kubernetes | service.action. kubernetesApiCallAction. remoteIpDetails.organisation.asn | 
| URI de demande d'appel d'API Kubernetes | service.action. kubernetesApiCallAction.RequestURI | 
| Code d'état de l'API Kubernetes | service.action. kubernetesApiCallCode d'état de l'action | 
|  IPv4 Adresse locale de connexion réseau | service.action. networkConnectionAction. localIpDetails.Adresse IP v4 | 
|  IPv6 Adresse locale de connexion réseau | service.action. networkConnectionAction. localIpDetailsAdresse IP V6 | 
|  Protocole | service.action. networkConnectionAction.protocole | 
| Nom du service de l'appel d'API | service.action. awsApiCallAction.ServiceName | 
| ID du compte de l'appelant d'API | service.action. awsApiCallAction. remoteAccountDetails. Identifiant du compte | 
| Nom de la liste des menaces | Service. Informations supplémentaires. threatListName | 
| Rôle de ressource | service.resourceRole | 
| Nom du cluster EKS | ressource. eksClusterDetails.nom | 
| Nom de charge de travail Kubernetes | Resource.kubernetesDétails. kubernetesWorkloadDetails.nom | 
| Espace de noms de charge de travail Kubernetes | Resource.kubernetesDétails. kubernetesWorkloadDetails.espace de noms | 
| Nom d'utilisateur Kubernetes | Resource.kubernetesDétails. kubernetesUserDetails.nom d'utilisateur | 
| Image de conteneur Kubernetes | Resource.kubernetesDétails. kubernetesWorkloadDetails.conteneurs.image | 
| Préfixe de l'image de conteneur Kubernetes | Resource.kubernetesDétails. kubernetesWorkloadDetails.containers.imagePrefix | 
| ID de numérisation | service. ebsVolumeScanDétails. ScanID | 
| Nom de la menace EBS Volume Scan | service. ebsVolumeScanDétails. Scannez les détections. threatDetectedByName.ThreatNames.name | 
| Nom de la menace de scan d'objets S3 | service. malwareScanDetails.threats .name | 
| Gravité de la menace | service. ebsVolumeScanDétails. Scannez les détections. threatDetectedByNom.ThreatNames.Severity | 
| Fichier SHA | service. ebsVolumeScanDétails. Scannez les détections. threatDetectedByName.ThreatNames.FilePaths.Hash | 
| Nom du cluster ECS | ressource. ecsClusterDetails.nom | 
| Image de conteneur ECS | ressource. ecsClusterDetails.TaskDetails.Containers.Image | 
| ARN de définition de tâche ECS | ressource. ecsClusterDetails.TaskDetails.DefinitionArn | 
| Image de conteneur autonome | resource.containerDetails.image | 
| ID d'instance de base de données  | ressource. rdsDbInstanceDétails. dbInstanceIdentifier | 
| ID de cluster de base de données | ressource. rdsDbInstanceDétails. dbClusterIdentifier | 
| Moteur de base de données | ressource. rdsDbInstanceDétails. Moteur | 
| Utilisateur de la base de donnée | ressource. rdsDbUserDetails.user | 
| Clé de balise d'instance de base de données | ressource. rdsDbInstanceDetails.tags.key | 
| Valeur de balise d'instance de base de données | ressource. rdsDbInstanceDetails.tags.value | 
| Exécutable SHA-256 | service.runtimeDetails.process.executableSha256 | 
| Nom du processus | service.runtimeDetails.process.name | 
| Chemin exécutable | service.runtimeDetails.process.executablePath | 
| Nom de fonction Lambda | resource.lambdaDetails.functionName | 
| ARN de fonction Lambda | resource.lambdaDetails.functionArn | 
| Clé de balise de fonction Lambda | resource.lambdaDetails.tags.key | 
| Valeur de balise de fonction Lambda | resource.lambdaDetails.tags.value | 
| Domaine de demande DNS | service.action. dnsRequestAction. domainWithSuffix | 

# Règles de suppression dans GuardDuty
<a name="findings_suppression-rule"></a>

Une règle de suppression est un ensemble de critères, composés d'un attribut de filtre associé à une valeur, utilisés pour filtrer les résultats en archivant automatiquement les nouveaux résultats qui correspondent aux critères spécifiés. Les règles de suppression peuvent être utilisées pour filtrer les résultats de faible valeur, les faux positifs ou les menaces sur lesquelles vous n'avez pas l'intention d'agir. Cela facilite la reconnaissance des menaces de sécurité ayant le plus d'impact sur votre environnement.

 Après avoir créé une règle de suppression, les nouveaux résultats qui correspondent aux critères définis dans la règle sont automatiquement archivés tant que la règle de suppression est active. Vous pouvez utiliser un filtre existant pour créer une règle de suppression ou créer une règle de suppression à partir d'un nouveau filtre que vous définissez. Vous pouvez configurer des règles de suppression pour supprimer des types de recherche entiers ou définir des critères de filtre plus précis afin de supprimer uniquement des instances spécifiques d'un type de résultat particulier. Vous pouvez modifier les règles de suppression à tout moment.

Les résultats supprimés ne sont pas envoyés à AWS Security Hub CSPM Amazon Simple Storage Service, Amazon Detective ou Amazon EventBridge, ce qui réduit le niveau de bruit si vous utilisez les GuardDuty résultats via Security Hub CSPM, un SIEM tiers ou d'autres applications d'alerte et de billetterie. Si vous l'avez activé[Protection contre les logiciels malveillants pour EC2](malware-protection.md), les GuardDuty résultats supprimés ne lanceront pas d'analyse des logiciels malveillants.

GuardDuty continue de générer des résultats même s'ils correspondent à vos règles de suppression, mais ces résultats sont automatiquement marqués comme **archivés**. Les résultats archivés sont conservés GuardDuty pendant 90 jours et peuvent être consultés à tout moment pendant cette période. Vous pouvez afficher les résultats supprimés dans la GuardDuty console en sélectionnant **Archivé** dans le tableau des résultats, ou via l' GuardDuty API en utilisant l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html)API avec un `findingCriteria` critère `service.archived` égal à vrai. 

**Note**  
Dans un environnement multi-comptes, seul l' GuardDuty administrateur peut créer des règles de suppression.

## Utilisation de règles de suppression avec Extended Threat Detection
<a name="using-suppression-rules-with-extended-threat-detection"></a>

GuardDuty La détection étendue des menaces détecte automatiquement les attaques en plusieurs étapes qui couvrent les sources de données, plusieurs types de AWS ressources et le temps, au sein d'un Compte AWS. Il met en corrélation les événements issus de différentes sources de données afin d'identifier les scénarios qui se présentent comme une menace potentielle pour votre AWS environnement, puis génère une recherche de séquence d'attaque. Pour de plus amples informations, veuillez consulter [Comment fonctionne la détection étendue des menaces](guardduty-extended-threat-detection.md#extended-threat-detection-how-it-works).

Lorsque vous créez des règles de suppression qui archivent les résultats, Extended Threat Detection ne peut pas utiliser ces résultats archivés pour corréler les événements aux séquences d'attaque. Des règles de suppression générales peuvent avoir un impact sur la capacité de GuardDuty détecter les comportements liés à la détection d'attaques en plusieurs étapes. Les résultats archivés en raison des règles de suppression ne sont pas considérés comme des signaux pour les séquences d'attaque. Par exemple, si vous créez une règle de suppression qui archive tous les résultats relatifs au cluster EKS au lieu de cibler des activités connues spécifiques, vous GuardDuty ne pourrez pas utiliser ces résultats pour détecter une séquence d'attaque dans laquelle un acteur malveillant exploite un conteneur, obtient des jetons privilégiés et accède à des ressources sensibles.

Tenez compte des recommandations suivantes provenant de GuardDuty :
+ Continuez à utiliser des règles de suppression pour réduire le nombre d'alertes liées à des activités fiables connues.
+ Concentrez les règles de suppression sur les comportements spécifiques pour lesquels vous ne GuardDuty souhaitez pas générer de résultat.

## Cas d'utilisation courants des règles de suppression et exemples
<a name="guardduty_suppression-best-practices"></a>

Les types de recherche suivants présentent des cas d'utilisation courants pour appliquer des règles de suppression. Sélectionnez le nom du résultat pour en savoir plus sur ce résultat. Consultez la description du cas d'utilisation pour décider si vous souhaitez créer une règle de suppression pour ce type de recherche.

**Important**  
GuardDuty recommande de créer des règles de suppression de manière réactive et uniquement pour les résultats pour lesquels vous avez identifié à plusieurs reprises des faux positifs dans votre environnement.
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws) : utilisez une règle de suppression pour archiver automatiquement les résultats générés lorsque la mise en réseau de VPC est configurée de manière à acheminer le trafic Internet pour qu'il sorte d'une passerelle sur site plutôt que d'une passerelle Internet de VPC.

  Ce résultat est généré lorsque la mise en réseau est configurée pour acheminer le trafic Internet de telle sorte qu'il sorte d'une passerelle sur site plutôt que d'une passerelle Internet VPC (IGW). Les configurations courantes, telles que [AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/) ou les connexions VPN VPC, peuvent entraîner l'acheminement du trafic de cette façon. Si ce comportement est attendu, il est recommandé d'utiliser des règles de suppression et de créer une règle composée de deux critères de filtre. Le premier critère est le **type de résultat**, qui devrait être `UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS`. Le deuxième critère de filtre est **l' IPv4 adresse de l'appelant de l'API** avec l'adresse IP ou la plage d'adresses CIDR de votre passerelle Internet locale. L'exemple ci-dessous représente le filtre que vous utiliseriez pour supprimer ce type de résultat en fonction de l'adresse IP de l'appelant d'API.

  ```
  Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6
  ```
**Note**  
Pour inclure plusieurs appelants d'API, IPs vous pouvez ajouter un nouveau filtre d' IPv4adresse d'appelant d'API pour chacun d'entre eux.
+ [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan) : utilisez une règle de suppression pour archiver automatiquement les résultats lors de l'utilisation d'une application d'évaluation des vulnérabilités. 

  La règle de suppression doit comprendre deux critères de filtre. Le premier critère doit utiliser l’attribut **Finding type (Type de résultat)** avec la valeur `Recon:EC2/Portscan`. Le second critère de filtre doit correspondre à l’instance ou aux instances qui hébergent ces outils d’évaluation de vulnérabilité. Vous pouvez utiliser l'attribut **ID d'image d'instance** ou **Valeur de balise** en fonction des critères identifiables avec les instances qui hébergent ces outils. L'exemple ci-dessous représente le filtre que vous utiliseriez pour supprimer ce type de résultat en fonction des instances avec une certaine AMI.

  ```
  Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999
  ```
+ [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce) : utilisez une règle de suppression pour archiver automatiquement les résultats lorsque la règle est ciblée sur des instances de bastion.

  Si la cible de la tentative de force brute est un hôte bastion, cela peut représenter le comportement attendu de votre AWS environnement. Dans ce cas, nous vous recommandons de configurer une règle de suppression pour ce résultat. La règle de suppression doit comprendre deux critères de filtre. Le premier critère doit utiliser l’attribut **Type de résultat** avec la valeur `UnauthorizedAccess:EC2/SSHBruteForce`. Le second critère de filtre doit correspondre à l’instance ou aux instances qui servent d’hôte bastion. Vous pouvez utiliser l'attribut **ID d'image d'instance** ou l'attribut de valeur **Balise** en fonction du critère identifiable avec les instances qui hébergent ces outils. L'exemple ci-dessous représente le filtre que vous utiliseriez pour supprimer ce type de résultat en fonction des instances avec une certaine valeur de balise d'instance.

  ```
  Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops
  ```
+ [Recon:EC2/PortProbeUnprotectedPort](guardduty_finding-types-ec2.md#recon-ec2-portprobeunprotectedport) : utilisez une règle de suppression pour archiver automatiquement les résultats lorsque la règle est ciblée sur des instances exposées intentionnellement.

  Dans certains cas, les instances peuvent être intentionnellement exposées, par exemple si elles hébergent des serveurs Web. Si tel est le cas dans votre AWS environnement, nous vous recommandons de définir une règle de suppression pour ce résultat. La règle de suppression doit comprendre deux critères de filtre. Le premier critère doit utiliser l’attribut **Type de résultat** avec la valeur `Recon:EC2/PortProbeUnprotectedPort`. Le second critère de filtre doit correspondre à l’instance ou aux instances qui servent d’hôte bastion. Vous pouvez utiliser l'attribut **ID d'image d'instance** ou l'attribut de valeur **Balise** en fonction du critère identifiable avec les instances qui hébergent ces outils. L'exemple ci-dessous représente le filtre que vous utiliseriez pour supprimer ce type de résultat en fonction des instances avec une certaine clé de balise d'instance dans la console.

  ```
  Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod
  ```

### Règles de suppression recommandées pour les résultats de la surveillance du temps d'exécution
<a name="runtime-monitoring-suppress-finding"></a>
+ [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed) est généré lorsqu'un processus à l'intérieur d'un conteneur communique avec le socket Docker. Certains conteneurs de votre environnement peuvent avoir besoin d'accéder au socket Docker pour des raisons légitimes. L'accès à partir de tels conteneurs générera un résultat PrivilegeEscalation:Runtime/DockerSocketAccessed. Si tel est le cas dans votre AWS environnement, nous vous recommandons de définir une règle de suppression pour ce type de recherche. Le premier critère doit utiliser l'attribut **Type de résultat** avec la valeur `PrivilegeEscalation:Runtime/DockerSocketAccessed`. Le deuxième critère de filtre est le champ **Chemin exécutable** dont la valeur est égale à celle du `executablePath` du processus dans le résultat généré. De même, le deuxième critère de filtre peut utiliser le champ **Exécutable SHA-256** dont la valeur est égale à celle du `executableSha256` du processus dans le résultat généré.
+ Les clusters Kubernetes exécutent leurs propres serveurs DNS en tant que pods, comme `coredns`. Par conséquent, pour chaque recherche DNS à partir d'un module, deux événements DNS sont GuardDuty capturés, l'un provenant du module et l'autre du module serveur. Cela peut générer des doublons pour les résultats DNS suivants :
  + [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns)
  + [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns)
  + [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation)
  + [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation)
  + [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation)
  + [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation)
  + [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns)
  + [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns)
  + [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns)
  + [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns)
  + [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns)

  Les résultats en double incluront les détails du pod, du conteneur et du processus correspondant à votre pod de serveur DNS. Vous pouvez définir une règle de suppression pour supprimer ces résultats en double à l'aide de ces champs. Le premier critère de filtre doit utiliser le champ **Type de résultat** avec une valeur égale à un type de résultat DNS figurant dans la liste des résultats fournie plus haut dans cette section. Le deuxième critère de filtre peut être soit **Chemin exécutable**, avec une valeur égale à l'`executablePath` de votre serveur DNS, soit **Exécutable SHA-256**, avec une valeur égale à celle de l'`executableSHA256` de votre serveur DNS dans le résultat généré. En tant que troisième critère de filtre facultatif, vous pouvez utiliser le champ **Image de conteneur Kubernetes** avec une valeur égale à l'image de conteneur de votre pod de serveur DNS dans le résultat généré.

# Création de règles de suppression dans GuardDuty
<a name="create-suppression-rules-guardduty"></a>

Une règle de suppression est un ensemble de critères qui inclut l'utilisation d'attributs de filtre et la fourniture de valeurs pour lesquelles vous ne GuardDuty souhaitez pas générer de type de recherche. Les types de recherche qui répondent à ces critères sont automatiquement archivés. Pour réduire le bruit, les résultats supprimés ne sont envoyés à aucun des sites auxquels Services AWS vous pouvez procéder à l'intégration. Pour plus d'informations sur les cas d'utilisation courants relatifs à la création de règles de suppression, consultez[Règles de suppression](findings_suppression-rule.md).

Vous pouvez visualiser, créer et gérer les règles de suppression à l'aide de la page **Règles de suppression** de la GuardDuty console. Les règles de suppression peuvent également être générées à partir de vos filtres enregistrés existants. Pour plus d’informations sur la création de filtres, veuillez consulter [Filtrer les résultats dans GuardDuty](guardduty_filter-findings.md). 

 Les critères de filtre peuvent inclure une correspondance exacte utilisant des valeurs **égales** et des **NotEquals**opérateurs, une **correspondance générique** utilisant les **correspondances** et **NotMatches**les opérateurs ou une **correspondance de comparaison** utilisant **LessThanEquals**les opérateurs **GreaterThan**GreaterThanEquals****, **LessThan**et. Vous trouverez plus d'informations sur les opérateurs disponibles [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Condition.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Condition.html)sur cette page. 

Choisissez votre méthode d'accès préférée pour créer une règle de suppression permettant de GuardDuty rechercher des types.

------
#### [ Console ]

**Pour créer une règle de suppression à l'aide de la console :**

1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1.  Sur la page **Règles de suppression**, cliquez sur **Créer une règle de suppression** pour ouvrir le formulaire **Créer une règle de suppression**. 

1.  Entrez un **nom** pour la règle de suppression. Le nom doit comporter entre 3 et 64 caractères. Les caractères valides sont a-z, A-Z, 0-9, le point (.), le trait d’union (-) et le trait de soulignement (\$1). 

1.  La **description** est facultative. Si vous entrez une description, elle peut comporter jusqu'à 512 caractères. Les caractères valides sont a-z, A-Z, 0-9, le point (.), le trait d’union (-), les deux points (:), les crochets (\$1\$1()[]), la barre oblique (/) et l’espace. 

1.  Le **grade** est facultatif. Il peut s'agir d'une valeur numérique comprise entre 1 et le nombre total de filtres et de règles de suppression, plus 1. 

1.  Dans la section **Attributs**, sélectionnez une **clé** et un **opérateur** dans le menu déroulant. 

1.  Entrez la valeur « chaîne » ou « date » dans le sélecteur de date en fonction de la clé sélectionnée. S'il s'agit d'une valeur de chaîne, saisissez le texte et appuyez sur Entrée. Plusieurs valeurs peuvent être ajoutées dans le cas de valeurs de chaîne. 

1.  Des critères supplémentaires peuvent être ajoutés en sélectionnant **Ajouter des critères** pour ajouter un autre ensemble de **clés**, d'**opérateurs** et de **valeurs**. 

1.  Sélectionnez **Créer une règle de suppression** pour créer et enregistrer la règle de suppression. 

Vous pouvez également créer une règle de suppression à partir d'un filtre enregistré existant. Pour plus d'informations sur la création de filtres, veuillez consulter [Filtrer les résultats dans GuardDuty](guardduty_filter-findings.md).

**Pour créer une règle de suppression à partir d'un filtre enregistré :**

1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Sur la **page Résultats**, dans le menu **Règles enregistrées**, sélectionnez une règle d'ensemble de filtres enregistrée. Cela affichera automatiquement le jeu de filtres et les résultats correspondant aux critères.

1. Vous pouvez également ajouter d'autres critères de filtre à cette règle enregistrée. Si vous n'avez pas besoin de critères de filtre supplémentaires, ignorez cette étape. Pour ajouter un ou plusieurs critères de filtre, suivez les étapes 3 à 7 dans[Adding filters on Findings page](guardduty_filter-findings.md#guardduty-add-filters-findings-page), puis passez aux étapes suivantes. 

1. Après avoir ajouté les critères de filtre et confirmé que les résultats filtrés répondent à vos exigences, choisissez **Créer une règle de suppression**.

1. Entrez un **nom** pour la règle de suppression. Le nom doit comporter de 3 à 64 caractères. Les caractères valides sont a-z, A-Z, 0-9, le point (.), le trait d’union (-) et le trait de soulignement (\$1).

1. La **description** est facultative. Si vous entrez une description, elle peut comporter jusqu'à 512 caractères.

1. Choisissez **Créer**.

1.  Si vous n'avez pas besoin d'ajouter de critères de filtre supplémentaires à la règle enregistrée, suivez les étapes 4 à 7 pour créer le filtre. 

------
#### [ API/CLI ]

**Pour créer une règle de suppression à l'aide de l'API :**

1. Vous pouvez créer des règles de suppression via l'API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html). Pour ce faire, spécifiez les critères de filtre dans un fichier JSON en suivant le format de l'exemple détaillé ci-dessous. L'exemple ci-dessous supprimera tous les résultats non archivés de faible gravité contenant une requête DNS adressée au `test.example.com` domaine. Pour les résultats de gravité moyenne, la liste d'entrée sera`["4", "5", "7"]`. Pour les résultats de gravité élevée, la liste d'entrée sera`["6", "7", "8"]`. Pour les constatations de gravité critique, la liste d'entrée sera`["9", "10"]`. Vous pouvez également filtrer en fonction de n'importe quelle valeur de la liste.

   L'exemple suivant ajoute un filtre pour les résultats de faible gravité pour les fonctions lambda avec le préfixe de nom de fonction « MyFunc » et pour les balises de fonction dont le préfixe n'est pas « ». TestTag 

   ```
   {
       "Criterion": {
           "service.action.dnsRequestAction.domain": {
               "Equals": [
                   "test.example.com"
               ]
           },
           "severity": {
               "Equals": [
                   "1",
                   "2",
                   "3"
               ]
           }
       }
   }
   ```

    Vous pouvez créer des règles de suppression à l'aide des caractères génériques\$1 et ? . Les caractères génériques dans les filtres sont pris en charge uniquement à l'aide de **correspondances** et d'**NotMatches**opérateurs. Pour faire correspondre un nombre quelconque de caractères, vous pouvez utiliser \$1 dans la valeur de l'attribut et pour faire correspondre un seul caractère, vous pouvez utiliser ? dans la valeur de l'attribut. Les filtres prennent en charge un maximum de 5 attributs sous une seule condition générique et un maximum de 5 caractères génériques dans un même attribut. L'exemple suivant ajoute un filtre pour le nom Lambda correspondant au préfixe « MyFunc », mais pas pour les fonctions Lambda dont les balises comportent le préfixe « TestTag » suivi de 0 à 2 caractères. 

   ```
   {
       "Criterion": {
           "resource.lambdaDetails.functionName": {
               "Matches": [
                   "MyFunc*"
               ]
           },
           "resource.lambdaDetails.tags.key": {
               "NotMatches": [
                   "TestTag??"
               ]
           }
       }
   }
   ```

   Pour obtenir la liste des noms de champ JSON et leur équivalent dans la console, veuillez consulter [Filtres de propriétés dans GuardDuty](guardduty_filter-findings.md#filter_criteria).

   Pour tester vos critères de filtre, utilisez le même critère JSON dans l'API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) et vérifiez que les résultats corrects ont été sélectionnés. Pour tester vos critères de filtre, AWS CLI suivez l'exemple en utilisant vos propres fichiers DetectoriD et .json.

   `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

   ```
   aws guardduty list-detector
   ```

   ```
   aws guardduty list-findings \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --region us-east-1 \
   --finding-criteria file://criteria.json
   ```
**Note**  
 Les jokers correspondants ne sont pas disponibles pour ListFindings et. GetFindingsStatistics Les critères contenant des caractères génériques ne peuvent pas être validés à l'aide de ListFindings et GetFindingsStatistics. 

1. Téléchargez votre filtre à utiliser en tant que règle de suppression avec l'API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html) ou via l'interface de ligne de commande AWS en suivant l'exemple ci-dessous avec votre ID de détecteur, un nom pour la règle de suppression et votre fichier .json.

   `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

   ```
   aws guardduty create-filter \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --region us-east-1 \
   --action ARCHIVE \
   --name yourfiltername \
   --finding-criteria file://criteria.json
   ```

Vous pouvez consulter la liste de vos filtres par programmation à l'aide de l'API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFilter.html). Vous pouvez consulter les détails d'un filtre individuel en fournissant le nom du filtre à l'API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFilter.html). Mettez à jour les filtres à l'aide de [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateFilter.html) ou supprimez-les avec l'API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html).

------

# Mise à jour des règles de suppression dans GuardDuty
<a name="update-suppression-rules-guardduty"></a>

 Cette section décrit les étapes à suivre pour mettre à jour une règle de suppression Compte AWS dans un espace spécifique Région AWS. 

 Vous pouvez mettre à jour les règles de suppression existantes depuis **la page Règles** de suppression de la GuardDuty console. GuardDuty prend en charge la mise à jour de la description, du classement et des critères de filtre du filtre de suppression depuis la GuardDuty console ou à l'aide de la GuardDuty CLI/API. La mise à jour de la règle de suppression suit les mêmes restrictions sur les valeurs des champs pour la description, le classement et les critères que[Création de règles de suppression](create-suppression-rules-guardduty.md). 

Si vous êtes membre, votre compte administrateur peut effectuer cette action en votre nom. Pour de plus amples informations, veuillez consulter [Relations entre le compte administrateur et le compte membre](administrator_member_relationships.md). 

 Choisissez votre méthode d'accès préférée pour supprimer une règle de suppression pour GuardDuty findingtypes. 

------
#### [ Console ]

1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1.  Sur la page **Règles de suppression**, sélectionnez la règle de suppression à mettre à jour. 

1.  Dans le menu déroulant **Actions**, sélectionnez **Mettre à jour la règle de suppression**. 

1. Cela ouvre le formulaire de règle de suppression existant.

1.  Apportez les modifications nécessaires à la section **Description**, **classement** et **attributs**. 

1.  Sélectionnez **Mettre à jour la règle de suppression** pour mettre à jour la règle de suppression. 

------
#### [ API/CLI ]

**Pour mettre à jour une règle de suppression à l'aide de l'API :**

1.  Vous pouvez mettre à jour les règles de suppression via l' UpdateFilter API. Seuls **la description**, le **classement** et les **critères** peuvent être mis à jour à l'aide de l' UpdateFilter API. Ces trois champs sont facultatifs. 

1. Pour mettre à jour un filtre existant, vous aurez besoin du nom du filtre que vous souhaitez mettre à jour.

1. Si vous souhaitez mettre à jour les critères existants, créez un fichier JSON avec les critères mis à jour, de la même manière que vous avez créé le filtre pour la première fois. Exemple de critère permettant de supprimer tout résultat non archivé de faible gravité faisant l'objet d'une requête DNS adressée au domaine test.example.com. Pour les résultats de gravité moyenne, la liste d'entrée sera ["4", « 5", « 7"]. Pour les résultats de gravité élevée, la liste d'entrée sera ["6", « 7", « 8"]. Pour les résultats de gravité critique, la liste d'entrée sera ["9", « 10"]. Vous pouvez également filtrer en fonction de n'importe quelle valeur de la liste. L'exemple suivant ajoute un filtre pour les résultats de faible gravité.

   ```
   {
       "Criterion": {
           "service.action.dnsRequestAction.domain": {
               "Equals": [
                   "test.example.com"
               ]
           },
           "severity": {
               "Equals": [
                   "1",
                   "2",
                   "3"
               ]
           }
       }
   }
   ```

    Pour obtenir la liste des noms de champ JSON et leur équivalent dans la console, veuillez consulter [Filtres de propriétés dans GuardDuty](guardduty_filter-findings.md#filter_criteria). 

    Pour tester vos critères de filtre, utilisez le même critère JSON dans l'API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) et vérifiez que les résultats corrects ont été sélectionnés. Pour tester vos critères de filtre, AWS CLI suivez l'exemple en utilisant vos propres fichiers DetectoriD et .json. 

   `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

   ```
   aws guardduty list-detectors --region us-east-1
   ```

1.  Si vous souhaitez mettre à jour la description, vous pouvez inclure le paramètre de description dans l'appel de la CLI. 

1.  Si vous souhaitez mettre à jour le classement, vous pouvez inclure le paramètre rank dans l'appel de la CLI. 

1.  Si vous souhaitez passer d'un filtre de suppression à un filtre normal, utilisez le paramètre d'action et la valeur sous la forme **ARCHIVE** dans l'appel de la CLI. 

1.  Mettez à jour votre API de filtre existante ou utilisez l' AWS CLI exemple ci-dessous avec votre propre identifiant de détecteur, un nom pour la règle de suppression et un fichier .json. 

1.  Voici un exemple de CLI qui met à jour tous les paramètres décrits ci-dessus. Vous pouvez sélectionner les paramètres spécifiques à mettre à jour pour votre cas d'utilisation à partir de la commande - 

   ```
   aws guardduty update-filter \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --region us-east-1 \
   --action ARCHIVE \
   --rank 1 \
   --description "Updated description" \
   --finding-criteria file://criteria.json
   ```

------

# Suppression des règles de suppression dans GuardDuty
<a name="delete-suppression-rules-guardduty"></a>

Cette section décrit les étapes à suivre pour supprimer une règle de suppression Compte AWS dans un espace spécifique Région AWS.

Vous souhaiterez peut-être supprimer une règle de suppression qui ne représente plus un comportement attendu dans votre environnement. Vous ne souhaitez plus supprimer le type de recherche associé afin de GuardDuty générer un type de recherche.

Si vous êtes membre, votre compte administrateur peut effectuer cette action en votre nom. Pour de plus amples informations, veuillez consulter [Relations entre le compte administrateur et le compte membre](administrator_member_relationships.md).

Choisissez votre méthode d'accès préférée pour supprimer une règle de suppression permettant de GuardDuty rechercher des types.

------
#### [ Console ]

1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Sur la page **Règles de suppression**, sélectionnez la règle de suppression à supprimer.

1.  Dans le menu déroulant **Actions**, sélectionnez **Supprimer la règle de suppression**. 

1.  Une fenêtre contextuelle de confirmation s'affiche. Sélectionnez **Supprimer** pour procéder à la suppression. Ou sélectionnez **Annuler** pour annuler l'opération. 

------
#### [ API/CLI ]

Exécutez l'API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html). Spécifiez le nom du filtre et l'ID du détecteur associé pour la région en question. 

Vous pouvez également utiliser l' AWS CLI exemple suivant en remplaçant les valeurs formatées dans *red* :

```
aws guardduty delete-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--filter-name filterName \
--region us-east-1
```

`detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

------

# Personnalisation de la détection des menaces à l’aide de listes d’entités et de listes d’adresses IP
<a name="guardduty_upload-lists"></a>

Amazon GuardDuty surveille la sécurité de votre AWS environnement en analysant et en traitant les journaux de flux VPC, les journaux d' AWS CloudTrail événements et les journaux DNS. En activant un ou plusieurs [plans de GuardDuty protection axés sur les cas d'utilisation](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html#features-of-guardduty) (sauf[Surveillance d’exécution](runtime-monitoring.md), vous pouvez étendre les fonctionnalités de surveillance qu'ils contiennent). GuardDuty 

Grâce aux listes, GuardDuty vous pouvez personnaliser l'étendue de la détection des menaces dans votre environnement. Vous pouvez configurer GuardDuty pour arrêter de générer des résultats à partir de vos sources fiables et générer des résultats pour des sources malveillantes connues à partir de vos listes de menaces. GuardDuty continue de prendre en charge les anciennes listes d'adresses IP et étend la prise en charge aux listes d'entités (recommandé) qui peuvent contenir des adresses IP, des domaines ou les deux. 

**Topics**
+ [Comprendre les listes d'entités et les listes d'adresses IP](#guardduty-threat-intel-list-entity-sets)
+ [Considérations importantes relatives aux GuardDuty listes](#guardduty-lists-entity-sets-considerations)
+ [Formats de liste](#prepare_list)
+ [Comprendre les statuts des listes](#guardduty-entity-list-statuses)
+ [Configuration des prérequis pour les listes d'entités et les listes d'adresses IP](guardduty-lists-prerequisites.md)
+ [Ajouter et activer une liste d'entités ou une liste d'adresses IP](guardduty-lists-create-activate.md)
+ [Mettre à jour une liste d'entités ou une liste d'adresses IP](guardduty-lists-update-procedure.md)
+ [Désactivation de la liste d'entités ou de la liste d'adresses IP](guardduty-lists-deactivate-procedure.md)
+ [Supprimer une liste d'entités ou une liste d'adresses IP](guardduty-lists-delete-procedure.md)

## Comprendre les listes d'entités et les listes d'adresses IP
<a name="guardduty-threat-intel-list-entity-sets"></a>

GuardDuty propose deux approches de mise en œuvre : les listes d'entités (recommandées) et les listes d'adresses IP. Les deux approches vous aident à définir les sources fiables, qui cessent GuardDuty de générer des découvertes, et les menaces connues, qui sont GuardDuty utilisées pour générer des conclusions.

**Les listes d'entités** prennent en charge à la fois les adresses IP et les noms de domaine. Ils utilisent un accès direct à Amazon Simple Storage Service (Amazon S3) avec une seule autorisation IAM qui n'a aucune incidence sur les limites de taille des politiques IAM dans plusieurs régions. 

**Les listes IP** ne prennent en charge que les adresses IP et leur utilisation [GuardDuty rôle lié à un service (SLR)](slr-permissions.md) (SLR), ce qui nécessite des mises à jour des politiques IAM par région, ce qui peut avoir une incidence sur les limites de taille des politiques IAM.

Les listes fiables (listes d'entités et listes d'adresses IP) incluent des entrées auxquelles vous faites confiance pour une communication sécurisée avec votre AWS infrastructure. GuardDuty ne génère pas de résultats pour les entrées répertoriées dans des sources fiables. À tout moment, vous ne pouvez ajouter qu'une seule liste d'entités de confiance et une seule liste d'adresses IP de confiance Compte AWS par région.

Les listes de menaces (listes d'entités et listes d'adresses IP) incluent des entrées que vous avez identifiées comme des sources malveillantes connues. Lorsqu'il GuardDuty détecte une activité impliquant ces sources, il génère des résultats pour vous avertir de problèmes de sécurité potentiels. Vous pouvez créer vos propres listes de menaces ou intégrer des flux de renseignements tiers sur les menaces. Cette liste peut être fournie par des renseignements tiers sur les menaces ou créée spécifiquement pour votre organisation. En plus de générer des résultats en raison d'une activité potentiellement suspecte, il génère GuardDuty également des résultats basés sur une activité impliquant des entrées de vos listes de menaces. À tout moment, vous pouvez télécharger jusqu'à six listes d'entités menaçantes et listes d'adresses IP de menaces Compte AWS par région.

**Note**  
Pour migrer des listes d'adresses IP vers les listes d'entités[Conditions requises pour les listes d'entités](guardduty-lists-prerequisites.md#guardduty-entity-list-prerequisites), suivez, puis ajoutez et activez la liste d'entités requise. Ensuite, vous pouvez choisir de désactiver ou de supprimer la liste d'adresses IP correspondante.

## Considérations importantes relatives aux GuardDuty listes
<a name="guardduty-lists-entity-sets-considerations"></a>

Avant de commencer à travailler avec des listes, prenez connaissance des points suivants :
+ Les listes d'adresses IP et les listes d'entités s'appliquent uniquement au trafic destiné aux adresses IP et aux domaines routables publiquement.
+ Dans une liste d'entités, les entrées s'appliquent aux CloudTrail journaux de flux VPC dans Amazon VPC et aux résultats des journaux de requêtes DNS de Route53 Resolver.

  Dans une liste d'adresses IP, les entrées s'appliquent aux CloudTrail journaux de flux VPC contenus dans les résultats d'Amazon VPC, mais pas aux résultats des journaux de requêtes DNS de Route53 Resolver.
+ Si vous incluez la même adresse IP ou le même domaine à la fois dans les listes de confiance et de menaces, cette entrée de la liste de confiance aura priorité. GuardDuty ne générera pas de résultat s'il existe une activité associée à cette entrée.
+ Dans un environnement multi-comptes, seul le compte GuardDuty administrateur peut gérer les listes. Ce paramètre s'applique automatiquement aux comptes des membres. GuardDuty génère des résultats basés sur une activité impliquant des adresses IP (et des domaines) malveillants connus provenant des sources de menace du compte administrateur, et ne génère pas de résultats basés sur une activité impliquant des adresses IP (et des domaines) provenant des sources fiables du compte administrateur. Pour de plus amples informations, veuillez consulter [Plusieurs comptes sur Amazon GuardDuty](guardduty_accounts.md).
+ Seules IPv4 les adresses sont acceptées. IPv6 les adresses ne sont pas prises en charge.
+ Une fois que vous avez activé, désactivé ou supprimé une liste d'entités ou une liste d'adresses IP, le processus devrait être terminé en 15 minutes. Dans certains scénarios, l'exécution de ce processus peut prendre jusqu'à 40 minutes.
+ GuardDuty utilise une liste pour détecter les menaces uniquement lorsque le statut de la liste devient **Actif**.
+ Chaque fois que vous ajoutez ou mettez à jour une entrée dans l'emplacement du compartiment S3 de la liste, vous devez réactiver la liste. Pour de plus amples informations, veuillez consulter [Mettre à jour une liste d'entités ou une liste d'adresses IP](guardduty-lists-update-procedure.md).
+ Les listes d'entités et les adresses IP ont des quotas différents. Pour de plus amples informations, veuillez consulter [GuardDuty quotas](guardduty_limits.md).

## Formats de liste
<a name="prepare_list"></a>

GuardDuty accepte plusieurs formats de fichier pour vos listes et listes d'entités, avec un maximum de 35 Mo par fichier. Chaque format a des exigences et des fonctionnalités spécifiques. 

### Texte brut (TXT)
<a name="guardduty-list-format-plaintext"></a>

Ce format prend en charge les adresses IP, les plages d'adresses CIDR et les noms de domaine. Chaque entrée doit apparaître sur une ligne distincte.

**Example **Exemple de liste d'entités****  

```
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
```

**Example **Exemple de liste d'adresses IP****  

```
192.0.2.0/24
198.51.100.1
203.0.113.1
```

### Structured Threat Information Expression (STIX)
<a name="guardduty-list-format-stix"></a>

Ce format prend en charge les adresses IP, le bloc CIDR et les noms de domaine. STIX vous permet d'inclure un contexte supplémentaire dans vos informations sur les menaces. GuardDuty traite les adresses IP, les plages d'adresses CIDR et les noms de domaine à partir des indicateurs STIX. 

**Example **Exemple de liste d'entités****  

```
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:cyboxCommon="http://cybox.mitre.org/common-2"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:indicator="http://stix.mitre.org/Indicator-2"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:DomainNameObj="http://cybox.mitre.org/objects#DomainNameObject-1"
    id="example:Package-a1b2c3d4-1111-2222-3333-444455556666"
    version="1.2">
    <stix:Indicators>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-aaaa-bbbb-cccc-ddddeeeeffff"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>Malicious domain observed Example</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">Domain Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-0000-1111-2222-3333">
                <cybox:Object id="example:Object-0000-1111-2222-3333">
                    <cybox:Properties xsi:type="DomainNameObj:DomainNameObjectType">
                        <DomainNameObj:Value condition="Equals">bad.example.com</DomainNameObj:Value>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
    </stix:Indicators>
</stix:STIX_Package>
```

**Example **Exemple de liste d'adresses IP****  

```
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:ttp="http://stix.mitre.org/TTP-1"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:example="http://example.com/"
    xsi:schemaLocation="
    http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
    http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
    http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
    http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
    http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
    http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
    id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
    version="1.2">
    <stix:Observables cybox_major_version="1" cybox_minor_version="1">
        <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
            <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
            <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
            <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
    </stix:Observables>
</stix:STIX_Package>
```

### Open Threat Exchange (OTX)TM CSV
<a name="guardduty-list-format-open-threat-exchange-csv"></a>

Ce format prend en charge le bloc CIDR, les adresses IP individuelles et les domaines. Ce format de fichier comporte des valeurs séparées par des virgules. 

**Example **Exemple de liste d'entités****  

```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
```

**Example **Exemple de liste d'adresses IP****  

```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
```

### FireEyeInformations sur les menaces TM iSight CSV
<a name="guardduty-list-format-fireeye-sight-threat-intel"></a>

Ce format prend en charge le bloc CIDR, les adresses IP individuelles et les domaines. Les exemples de listes suivants utilisent le format `FireEyeTM` CSV.

**Example **Exemple de liste d'entités****  

```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

 01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
```

**Example **Exemple de liste d'adresses IP****  

```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
```

### ProofpointTM ET Intelligence Feed CSV
<a name="guardduty-list-format-proofpoint"></a>

Au format ProofPoint CSV, vous pouvez ajouter des adresses IP ou des noms de domaine dans une seule liste. La liste d'exemples suivante utilise le format CSV `Proofpoint`. La fourniture d'une valeur pour le `ports` paramètre est facultative. Lorsque vous ne le fournissez pas, laissez une virgule (,) à la fin.

**Example **Exemple de liste d'entités****  

```
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```

**Example **Exemple de liste d'adresses IP****  

```
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```

### AlienVaultFil de réputation TM
<a name="guardduty-list-format-alien-vault-reputation-feed"></a>

La liste d'exemples suivante utilise le format `AlienVault`.

**Example **Exemple de liste d'entités****  

```
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
```

**Example **Exemple de liste d'adresses IP****  

```
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
```

## Comprendre les statuts des listes
<a name="guardduty-entity-list-statuses"></a>

Lorsque vous ajoutez une liste d'entités ou une liste d'adresses IP, GuardDuty affiche le statut de cette liste. La colonne **État** indique si la liste est effective et si une action est requise. La liste suivante décrit les valeurs de statut valides :
+ **Actif** — Indique que la liste est actuellement utilisée pour la détection personnalisée des menaces.
+ **Inactif** — Indique que la liste n'est actuellement pas utilisée. Pour utiliser cette liste GuardDuty à des fins de détection des menaces dans votre environnement, consultez Étape 3 : Activation d'une liste d'entités ou d'une liste d'adresses IP dans[Ajouter et activer une liste d'entités ou une liste d'adresses IP](guardduty-lists-create-activate.md).
+ **Erreur** — Indique que la liste présente un problème. Passez le curseur sur le statut pour afficher les détails de l'erreur. 
+ **Activation** : indique que le processus d'activation de la liste GuardDuty a été lancé. Vous pouvez continuer à surveiller le statut de cette liste. S'il n'y a pas d'erreur, le statut doit passer à **Actif**. Tant que le statut reste **Activation**, vous ne pouvez effectuer aucune action sur cette liste. Quelques minutes peuvent être nécessaires pour que le statut de la liste passe à **Actif**.
+ **Désactivation** : indique que le processus de désactivation de la liste GuardDuty a été lancé. Vous pouvez continuer à surveiller le statut de cette liste. S'il n'y a pas d'erreur, le statut doit passer à **Inactif**. Tant que le statut reste **Désactivation**, vous ne pouvez effectuer aucune action sur cette liste.
+ **Supprimer en attente** — Indique que la liste est en cours de suppression. Bien que le statut reste « **Supprimer en attente** », vous ne pouvez effectuer aucune action sur cette liste.

# Configuration des prérequis pour les listes d'entités et les listes d'adresses IP
<a name="guardduty-lists-prerequisites"></a>

GuardDuty utilise des listes d'entités et des listes d'adresses IP pour personnaliser la détection des menaces dans votre AWS environnement. Les listes d'entités (recommandées) prennent en charge à la fois les adresses IP et les noms de domaine, tandis que les listes d'adresses IP ne prennent en charge que les adresses IP. Avant de commencer à créer ces listes, vous devez ajouter les autorisations requises pour le type de liste que vous souhaitez utiliser.

## Conditions requises pour les listes d'entités
<a name="guardduty-entity-list-prerequisites"></a>

Lorsque vous ajoutez des listes d'entités, GuardDuty lit vos listes de renseignements fiables et de renseignements sur les menaces à partir de compartiments S3. Le rôle que vous utilisez pour créer des listes d'entités doit disposer de l'`s3:GetObject`autorisation pour que les compartiments S3 contiennent ces listes.

**Note**  
Dans un environnement multi-comptes, seul le compte GuardDuty administrateur peut gérer les listes, qui s'appliquent automatiquement aux comptes des membres.

Si vous n'avez pas encore l'`s3:GetObject`autorisation pour l'emplacement du compartiment S3, utilisez l'exemple de politique suivant et remplacez-le *amzn-s3-demo-bucket* par l'emplacement de votre compartiment S3.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
        }
    ]
}
```

------

## Conditions requises pour les listes d'adresses IP
<a name="guardduty-ip-address-list-prerequisites"></a>

Les différentes identités IAM nécessitent des autorisations spéciales pour pouvoir utiliser des listes d'adresses IP fiables et des listes de menaces. GuardDuty Une identité avec la stratégie gérée [AmazonGuardDutyFullAccess\$1v2 (recommandé)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) attachée peut uniquement renommer et désactiver les listes d'adresses IP approuvées et les listes des menaces chargées .

Pour accorder à différentes identités un accès complet à la gestion des listes d'adresses IP approuvées et des listes des menaces (en plus de renommer et de désactiver, cela inclut l'ajout, l'activation, la suppression et la mise à jour de l'emplacement ou du nom des listes), assurez-vous que les actions suivantes sont présentes dans la stratégie d'autorisations attachée à un utilisateur, un groupe ou un rôle : 

```
{
    "Effect": "Allow",
    "Action": [
        "iam:PutRolePolicy",
        "iam:DeleteRolePolicy"
    ],
    "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
```

**Important**  
Ces actions ne sont pas incluses dans la politique gérée `AmazonGuardDutyFullAccess`.

### Utilisation du chiffrement SSE-KMS avec des listes d'entités et des listes d'adresses IP
<a name="encrypt-list"></a>

GuardDuty prend en charge le chiffrement SSE AES256 et SSE-KMS pour vos listes. SSE-C n'est pas pris en charge. Pour plus d'informations sur les types de chiffrement pour S3, consultez la section [Protection des données à l'aide du chiffrement côté serveur.](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html) 

Que vous utilisiez des listes d'entités ou des listes d'adresses IP, si vous utilisez SSE-KMS, ajoutez l'instruction suivante à votre AWS KMS key politique. *123456789012*Remplacez-le par votre propre identifiant de compte.

```
{
    "Sid": "AllowGuardDutyServiceRole",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    },
    "Action": "kms:Decrypt*",
    "Resource": "*"
}
```

# Ajouter et activer une liste d'entités ou une liste d'adresses IP
<a name="guardduty-lists-create-activate"></a>

Les listes d'entités et les listes d'adresses IP vous aident à personnaliser les fonctionnalités de détection des menaces dans GuardDuty. Pour plus d'informations sur ces listes, consultez[Comprendre les listes d'entités et les listes d'adresses IP](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets). Pour gérer les données fiables et les informations sur les menaces de votre AWS environnement, il est GuardDuty recommandé d'utiliser des listes d'entités. Avant de commencer, consultez [Configuration des prérequis pour les listes d'entités et les listes d'adresses IP](guardduty-lists-prerequisites.md).

Choisissez l'une des méthodes d'accès suivantes pour ajouter et activer une liste d'entités fiables, une liste d'entités de menace, une liste d'adresses IP fiables ou une liste d'adresses IP de menace.

------
#### [ Console ]

**(Facultatif) Étape 1 : récupération de l'URL d'emplacement de votre liste**

1. Ouvrez la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. Dans le volet de navigation, choisissez **Compartiments**.

1. Choisissez le nom du compartiment Amazon S3 contenant la liste spécifique que vous souhaitez ajouter.

1. Choisissez le nom de l'objet (liste) pour en afficher les détails.

1. Sous l'onglet **Propriétés**, copiez l'**URI S3** de cet objet.

**Étape 2 : ajout de données fiables ou de renseignements sur les menaces**

1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Dans le panneau de navigation, choisissez **Listes**.

1. Sur la page **Listes**, choisissez **l'onglet Listes d'entités** ou **Listes d'adresses IP**.

1. En fonction de l'onglet que vous avez sélectionné, choisissez d'ajouter une liste de confiance ou une liste de menaces.

1. Dans la boîte de dialogue pour ajouter une liste fiable ou une liste de menaces, procédez comme suit :

   1. Pour **Nom de la liste**, saisissez un nom pour votre liste.

      **Contraintes de dénomination des listes** : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (\$1). 

      Pour une liste d'adresses IP, le nom de votre liste doit être unique au sein d'une région Compte AWS et.

   1. Pour **Emplacement**, indiquez l'emplacement où vous avez chargé votre liste. Si vous ne l'avez pas encore fait, veuillez consulter [Step 1: Fetching location URL of your list](#fetch-location-URL-list-manage).

      S'applique uniquement aux menaces personnalisées et aux ensembles d'entités fiables personnalisés. Si vous fournissez une URL de localisation qui ne correspond pas aux formats pris en charge suivants, vous recevrez un message d'erreur lors de l'ajout et de l'activation de la liste.

**Format de l'URL de localisation :**
      + https://s3.amazonaws.com/bucket.name/file.txt
      + https://s3-aws-region.amazonaws.com/bucket.name/file.txt
      + http://bucket.s3.amazonaws.com/file.txt
      + http://bucket.s3-aws-region.amazonaws.com/file.txt
      + s3://bucket.name/file.txt

   1. (Facultatif) Pour **le propriétaire attendu du compartiment**, vous pouvez saisir l' Compte AWS ID propriétaire du compartiment Amazon S3 spécifié dans le champ **Emplacement**.

      Lorsque vous ne spécifiez pas de propriétaire d' Compte AWS ID, le GuardDuty comportement est différent pour les listes d'entités et les listes d'adresses IP. Pour les listes d'entités, GuardDuty validera que le compte membre actuel possède le compartiment S3 spécifié dans le champ **Emplacement**. Pour les listes d'adresses IP, si vous ne spécifiez pas de propriétaire d' Compte AWS identifiant, aucune validation GuardDuty n'est effectuée.

      S' GuardDuty il s'avère que ce compartiment S3 n'appartient pas à l'ID de compte spécifié, un message d'erreur s'affichera au moment de l'activation de la liste.

   1. Cochez la case **I agree**.

   1. Choisissez **Ajouter une liste**. Par défaut, l'**état** de la liste ajoutée est **Inactif**. Pour que la liste soit effective, vous devez l'activer.

**Étape 3 : Activation d'une liste d'entités ou d'adresses IP**

1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Dans le panneau de navigation, choisissez **Listes**.

1. Sur la page **Listes**, sélectionnez l'onglet dans lequel vous souhaitez activer la liste : listes d'**entités ou listes** d'**adresses IP**.

1. Sélectionnez la liste que vous souhaitez activer. Cela activera le menu **Action** et **Édition**.

1. Choisissez **Action**, puis sélectionnez **Activer**. 

------
#### [ API/CLI ]

**Pour ajouter et activer une liste d'entités de confiance**

1. Exécutez [CreateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateTrustedEntitySet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez créer cette liste d'entités de confiance. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. 

   **Contraintes de dénomination des listes** : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (\$1). 

1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante : 

   ```
   aws guardduty create-trusted-entity-set \ 
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --name "AnyOrganization ListEXAMPLE" \
   --format TXT \
   --location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
   --activate
   ```

   `detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez créer la liste des entités de confiance, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.

   Si vous ne souhaitez pas activer cette liste nouvellement créée, remplacez le paramètre `--activate` par`--no-activate`.

   Le paramètre `expected-bucket-owner` est facultatif. Que vous spécifiiez ou non la valeur de ce paramètre, cela GuardDuty confirme que l' Compte AWS ID associé à cette `--detector-id` valeur possède le compartiment S3 spécifié dans le `--location` paramètre. S' GuardDuty il s'avère que ce compartiment S3 n'appartient pas à l'ID de compte spécifié, un message d'erreur s'affichera au moment de l'activation de cette liste.

   S'applique uniquement aux menaces personnalisées et aux ensembles d'entités fiables personnalisés. Si vous fournissez une URL de localisation qui ne correspond pas aux formats pris en charge suivants, vous recevrez un message d'erreur lors de l'ajout et de l'activation de la liste.

**Pour ajouter et activer des listes d'entités menaçantes**

1. Exécutez [CreateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatEntitySet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez créer cette liste d'entités menaçantes. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. 

   **Contraintes de dénomination des listes** : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (\$1). 

1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante : 

   ```
   aws guardduty create-threat-entity-set \ 
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --name "AnyOrganization ListEXAMPLE" \
   --format TXT \
   --location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
   --activate
   ```

   `detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez créer la liste des entités de confiance, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.

   Si vous ne souhaitez pas activer cette liste nouvellement créée, remplacez le paramètre `--activate` par`--no-activate`.

   Le paramètre `expected-bucket-owner` est facultatif. Que vous spécifiiez ou non la valeur de ce paramètre, cela GuardDuty confirme que l' Compte AWS ID associé à cette `--detector-id` valeur possède le compartiment S3 spécifié dans le `--location` paramètre. S' GuardDuty il s'avère que ce compartiment S3 n'appartient pas à l'ID de compte spécifié, un message d'erreur s'affichera au moment de l'activation de cette liste.

   S'applique uniquement aux menaces personnalisées et aux ensembles d'entités fiables personnalisés. Si vous fournissez une URL de localisation qui ne correspond pas aux formats pris en charge suivants, vous recevrez un message d'erreur lors de l'ajout et de l'activation de la liste.

**Pour ajouter et activer une liste d'adresses IP fiables**

1. Exécutez [Create IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez créer cette liste d'adresses IP fiables. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. 

   Pour une liste d'adresses IP, le nom de votre liste doit être unique au sein d'une région Compte AWS et.

   **Contraintes de dénomination des listes** : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (\$1). 

1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante et en vous assurant de `detector-id` remplacer le par l'ID de détecteur du compte membre pour lequel vous allez mettre à jour la liste d'adresses IP fiables.

   ```
   aws guardduty create-ip-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --name "AnyOrganization ListEXAMPLE" \
   --format TXT \
   --location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
   --activate
   ```

   `detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez créer la liste d'adresses IP fiables, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.

   Si vous ne souhaitez pas activer cette liste nouvellement créée, remplacez le paramètre `--activate` par`--no-activate`.

   Le paramètre `expected-bucket-owner` est facultatif. Lorsque vous ne spécifiez pas l'ID de compte propriétaire du compartiment S3, aucune validation GuardDuty n'est effectuée. Lorsque vous spécifiez l'ID de compte pour le `expected-bucket-owner` paramètre, cela GuardDuty confirme que cet Compte AWS ID possède le compartiment S3 spécifié dans le `--location` paramètre. S' GuardDuty il s'avère que ce compartiment S3 n'appartient pas à l'ID de compte spécifié, un message d'erreur s'affichera au moment de l'activation de cette liste.

**Pour ajouter et activer des listes d'adresses IP de menaces**

1. Exécutez [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez créer cette liste d'adresses IP de menaces. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. 

   **Contraintes de dénomination des listes** : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (\$1). 

   Pour une liste d'adresses IP, le nom de votre liste doit être unique au sein d'une région Compte AWS et.

1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante et en vous assurant de remplacer le par l'`detector-id`ID du détecteur du compte membre pour lequel vous allez mettre à jour la liste des adresses IP des menaces.

   ```
   aws guardduty create-threat-intel-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --name "AnyOrganization ListEXAMPLE" \
   --format TXT \
   --location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
   --activate
   ```

   `detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez créer la liste d'adresses IP des menaces, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.

   Si vous ne souhaitez pas activer cette liste nouvellement créée, remplacez le paramètre `--activate` par`--no-activate`.

   Le paramètre `expected-bucket-owner` est facultatif. Lorsque vous ne spécifiez pas l'ID de compte propriétaire du compartiment S3, aucune validation GuardDuty n'est effectuée. Lorsque vous spécifiez l'ID de compte pour le `expected-bucket-owner` paramètre, cela GuardDuty confirme que cet Compte AWS ID possède le compartiment S3 spécifié dans le `--location` paramètre. S' GuardDuty il s'avère que ce compartiment S3 n'appartient pas à l'ID de compte spécifié, un message d'erreur s'affichera au moment de l'activation de cette liste.

------

Une fois que vous avez activé une liste d'entités ou une liste d'adresses IP, l'entrée en vigueur de cette liste peut prendre quelques minutes. Pour de plus amples informations, veuillez consulter [Considérations importantes relatives aux GuardDuty listes](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations).

# Mettre à jour une liste d'entités ou une liste d'adresses IP
<a name="guardduty-lists-update-procedure"></a>

Les listes d'entités et les listes d'adresses IP vous aident à personnaliser les fonctionnalités de détection des menaces dans GuardDuty. Pour plus d'informations sur ces listes, consultez[Comprendre les listes d'entités et les listes d'adresses IP](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets).

Vous pouvez mettre à jour le nom d'une liste, l'emplacement du compartiment S3, l'ID de compte du propriétaire attendu du compartiment et les entrées d'une liste existante. Si vous mettez à jour les entrées d'une liste, vous devez suivre les étapes pour réactiver la liste GuardDuty afin d'utiliser la dernière version de la liste. Après avoir mis à jour ou activé une liste d'entités ou une liste d'adresses IP, l'entrée en vigueur de cette liste peut prendre quelques minutes. Pour de plus amples informations, veuillez consulter [Considérations importantes relatives aux GuardDuty listes](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations).

**Note**  
Si le statut d'une liste est **Activation**, **Désactivation** ou **Supprimer en attente**, vous devez attendre quelques minutes avant d'effectuer une action. Pour plus d'informations sur ces statuts, consultez[Comprendre les statuts des listes](guardduty_upload-lists.md#guardduty-entity-list-statuses).

Choisissez l'une des méthodes d'accès pour mettre à jour une liste d'entités ou une liste d'adresses IP.

------
#### [ Console ]

1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Dans le panneau de navigation, choisissez **Listes**.

1. Sur la page **Listes**, sélectionnez l'onglet approprié : Listes d'**entités ou listes** d'**adresses IP**.

1. Sélectionnez une liste (fiable ou menaçante) que vous souhaitez mettre à jour. Cela activera le menu **Action** et **Édition**.

1. Choisissez **Modifier**.

1. Dans la boîte de dialogue pour mettre à jour la liste, spécifiez les détails que vous souhaitez mettre à jour.

   **Contraintes de dénomination des listes** : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (\$1). 

   Pour une liste d'adresses IP, le nom de votre liste doit être unique au sein d'une région Compte AWS et.

   S'applique uniquement aux menaces personnalisées et aux ensembles d'entités fiables personnalisés. Si vous fournissez une URL de localisation qui ne correspond pas aux formats pris en charge suivants, vous recevrez un message d'erreur lors de l'ajout et de l'activation de la liste.

1. (Facultatif) Pour **le propriétaire attendu du compartiment**, vous pouvez saisir l' Compte AWS ID propriétaire du compartiment Amazon S3 spécifié dans le champ **Emplacement**.

   Lorsque vous ne spécifiez pas de propriétaire d' Compte AWS identifiant, le GuardDuty comportement est différent pour les listes d'entités et les listes d'adresses IP. Pour les listes d'entités, GuardDuty validera que le compte membre actuel possède le compartiment S3 spécifié dans le champ **Emplacement**. Pour les listes d'adresses IP, si vous ne spécifiez pas de propriétaire d' Compte AWS identifiant, aucune validation GuardDuty n'est effectuée.

   S' GuardDuty il s'avère que ce compartiment S3 n'appartient pas à l'ID de compte spécifié, un message d'erreur s'affichera au moment de l'activation de la liste.

1. Cochez la case **J'accepte**, puis choisissez **Mettre à jour la liste**. 

------
#### [ API/CLI ]

Pour commencer les procédures suivantes, vous avez besoin de l'ID, tel que`trustedEntitySetId`,`threatEntitySetId`, ou `trustedIpSet``threatIpSet`, qui est associé à la ressource de liste que vous souhaitez mettre à jour. 

**Pour mettre à jour et activer une liste d'entités de confiance**

1. Exécutez [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez mettre à jour cette liste d'entités de confiance. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. 

   **Contraintes de dénomination des listes** : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (\$1). 

1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante qui met à jour `name` la liste et active également cette liste : 

   ```
   aws guardduty update-trusted-entity-set \ 
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --name "AnyOrganization ListEXAMPLE" \
   --trusted-entity-set-id d4b94fc952d6912b8f3060768example \
   --activate
   ```

   `detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez créer la liste des entités de confiance, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.

   Si vous ne souhaitez pas activer cette liste nouvellement créée, remplacez le paramètre `--activate` par`--no-activate`.

   Le paramètre `expected-bucket-owner` est facultatif. Que vous spécifiiez ou non la valeur de ce paramètre, cela GuardDuty confirme que l' Compte AWS ID associé à cette `--detector-id` valeur possède le compartiment S3 spécifié dans le `--location` paramètre. S' GuardDuty il s'avère que ce compartiment S3 n'appartient pas à l'ID de compte spécifié, un message d'erreur s'affichera au moment de l'activation de cette liste.

   S'applique uniquement aux menaces personnalisées et aux ensembles d'entités fiables personnalisés. Si vous fournissez une URL de localisation qui ne correspond pas aux formats pris en charge suivants, vous recevrez un message d'erreur lors de l'ajout et de l'activation de la liste.

**Pour mettre à jour et activer une liste d'entités menaçantes**

1. Exécutez [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez créer cette liste d'entités menaçantes. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. 

   **Contraintes de dénomination des listes** : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (\$1). 

1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante qui met à jour `name` la liste et active également cette liste : 

   ```
   aws guardduty update-threat-entity-set \ 
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --name "AnyOrganization ListEXAMPLE" \
   --threat-entity-set-id d4b94fc952d6912b8f3060768example \
   --activate
   ```

   `detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez créer la liste des entités menaçantes, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.

   Si vous ne souhaitez pas activer cette liste nouvellement créée, remplacez le paramètre `--activate` par`--no-activate`.

   Le paramètre `expected-bucket-owner` est facultatif. Que vous spécifiiez ou non la valeur de ce paramètre, cela GuardDuty confirme que l' Compte AWS ID associé à cette `--detector-id` valeur possède le compartiment S3 spécifié dans le `--location` paramètre. S' GuardDuty il s'avère que ce compartiment S3 n'appartient pas à l'ID de compte spécifié, un message d'erreur s'affichera au moment de l'activation de cette liste.

   S'applique uniquement aux menaces personnalisées et aux ensembles d'entités fiables personnalisés. Si vous fournissez une URL de localisation qui ne correspond pas aux formats pris en charge suivants, vous recevrez un message d'erreur lors de l'ajout et de l'activation de la liste.

**Pour mettre à jour et activer une liste d'adresses IP fiables**

1. Exécutez [Create IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez mettre à jour cette liste d'adresses IP fiables. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. 

   **Contraintes de dénomination des listes** : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (\$1). 

   Pour une liste d'adresses IP, le nom de votre liste doit être unique au sein d'une région Compte AWS et.

1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante qui active également la liste :

   ```
   aws guardduty update-ip-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --name "AnyOrganization ListEXAMPLE" \
   --ip-set-id d4b94fc952d6912b8f3060768example \
   --activate
   ```

   `detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez mettre à jour la liste d'adresses IP fiables, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.

   Si vous ne souhaitez pas activer cette liste nouvellement créée, remplacez le paramètre `--activate` par`--no-activate`.

   Le paramètre `expected-bucket-owner` est facultatif. Lorsque vous ne spécifiez pas l'ID de compte propriétaire du compartiment S3, aucune validation GuardDuty n'est effectuée. Lorsque vous spécifiez l'ID de compte pour le `expected-bucket-owner` paramètre, cela GuardDuty confirme que cet Compte AWS ID possède le compartiment S3 spécifié dans le `--location` paramètre. S' GuardDuty il s'avère que ce compartiment S3 n'appartient pas à l'ID de compte spécifié, un message d'erreur s'affichera au moment de l'activation de cette liste.

**Pour ajouter et activer des listes d'adresses IP de menaces**

1. Exécutez [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez créer cette liste d'adresses IP de menaces. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. 

   **Contraintes de dénomination des listes** : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (\$1). 

   Pour une liste d'adresses IP, le nom de votre liste doit être unique au sein d'une région Compte AWS et.

1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante qui active également la liste :

   ```
   aws guardduty update-threat-intel-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --name "AnyOrganization ListEXAMPLE" \
   --threat-intel-set-id d4b94fc952d6912b8f3060768example \
   --activate
   ```

   `detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez mettre à jour la liste des adresses IP des menaces, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.

   Si vous ne souhaitez pas activer cette liste nouvellement créée, remplacez le paramètre `--activate` par`--no-activate`.

   Le paramètre `expected-bucket-owner` est facultatif. Lorsque vous ne spécifiez pas l'ID de compte propriétaire du compartiment S3, aucune validation GuardDuty n'est effectuée. Lorsque vous spécifiez l'ID de compte pour le `expected-bucket-owner` paramètre, cela GuardDuty confirme que cet Compte AWS ID possède le compartiment S3 spécifié dans le `--location` paramètre. S' GuardDuty il s'avère que ce compartiment S3 n'appartient pas à l'ID de compte spécifié, un message d'erreur s'affichera au moment de l'activation de cette liste.

------

# Désactivation de la liste d'entités ou de la liste d'adresses IP
<a name="guardduty-lists-deactivate-procedure"></a>

Lorsque vous ne souhaitez plus GuardDuty utiliser une liste, vous pouvez la désactiver. La fin du processus peut prendre quelques minutes. Pour de plus amples informations, veuillez consulter [Considérations importantes relatives aux GuardDuty listes](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations). Une fois la liste désactivée, les entrées de la liste d'entités ou de la liste d'adresses IP n'auront aucune incidence sur la détection des menaces dans GuardDuty. 

Choisissez l'une des méthodes d'accès pour désactiver la liste.

------
#### [ Console ]

**Pour désactiver la liste d'entités ou la liste d'adresses IP**

1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Dans le panneau de navigation, choisissez **Listes**.

1. Sur la page **Liste**, sélectionnez l'onglet dans lequel vous souhaitez désactiver la liste : **listes d'entités** ou **liste d'adresses IP**. 

1. Dans l'onglet sélectionné, sélectionnez la liste que vous souhaitez désactiver. 

1. Choisissez **Actions**, puis sélectionnez **Désactiver**. 

1. Confirmez l'action et choisissez **Désactiver**.

------
#### [ API/CLI ]

Pour commencer les procédures suivantes, vous avez besoin de l'ID, tel que `trustedEntitySetId` `threatEntitySetId``trustedIpSet`,, ou`threatIpSet`, associé à la ressource de liste que vous souhaitez désactiver. 

**Pour désactiver une liste d'entités de confiance**

1. Exécutez [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez désactiver cette liste d'entités de confiance. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. 

1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante : 

   ```
   aws guardduty update-trusted-entity-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --trusted-entity-set-id d4b94fc952d6912b8f3060768example \
   --no-activate
   ```

   `detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous désactiverez la liste des entités de confiance, ainsi que par d'autres valeurs d'espace réservé qui le sont. *shown in red*

**Pour désactiver les listes d'entités menaçantes**

1. Exécutez [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez désactiver cette liste d'entités menaçantes. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. 

1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante : 

   ```
   aws guardduty update-threat-entity-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --threat-entity-set-id d4b94fc952d6912b8f3060768example \
   --no-activate
   ```

   `detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez créer la liste des entités menaçantes, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.

**Pour désactiver une liste d'adresses IP fiables**

1. Exécutez la [mise à jour IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateIPSet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez désactiver cette liste d'adresses IP fiables. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. 

1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante et en vous assurant de `detector-id` remplacer le par l'ID de détecteur du compte membre pour lequel vous désactiverez la liste d'adresses IP fiables.

   ```
   aws guardduty update-ip-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --ip-set-id d4b94fc952d6912b8f3060768example \
   --no-activate
   ```

**Pour désactiver la liste d'adresses IP des menaces**

1. Exécutez [UpdateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatIntelSet.html). Assurez-vous de fournir la liste `detectorId` d'adresses IP du compte membre pour lequel vous souhaitez désactiver cette liste d'adresses IP de menaces. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. 

1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante et en vous assurant de remplacer le par l'`detector-id`ID du détecteur du compte membre pour lequel vous désactiverez la liste d'adresses IP des menaces.

   ```
   aws guardduty update-threat-intel-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --threat-intel-set-id d4b94fc952d6912b8f3060768example \
   --no-activate
   ```

------

# Supprimer une liste d'entités ou une liste d'adresses IP
<a name="guardduty-lists-delete-procedure"></a>

Lorsque vous ne souhaitez plus conserver une entrée de liste dans votre ensemble d'entités ou d'adresses IP, vous pouvez la supprimer. Le processus peut prendre quelques minutes. Pour de plus amples informations, veuillez consulter [Considérations importantes relatives aux GuardDuty listes](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations). 

Si le statut de la liste est **Activation** ou **Désactivation**, vous devez attendre quelques minutes avant d'effectuer une action. Pour de plus amples informations, veuillez consulter [Comprendre les statuts des listes](guardduty_upload-lists.md#guardduty-entity-list-statuses).

Choisissez l'une des méthodes d'accès pour supprimer la liste.

------
#### [ Console ]

**Pour supprimer une liste d'entités ou une liste d'adresses IP**

1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Dans le panneau de navigation, choisissez **Listes**.

1. Sur la page **Liste**, sélectionnez l'onglet dans lequel vous souhaitez supprimer la liste : **listes d'entités** ou **liste d'adresses IP**. 

1. Dans l'onglet sélectionné, sélectionnez la liste que vous souhaitez supprimer. 

1. Choisissez **Actions**, puis **Supprimer**. 

   Le statut de la liste deviendra **Supprimer en attente**. La suppression de la liste peut prendre quelques minutes.

------
#### [ API/CLI ]

Pour commencer les procédures suivantes, vous avez besoin de l'ID, tel que`trustedEntitySetId`, `threatEntitySetId``trustedIpSet`, ou`threatIpSet`, qui est associé à la ressource de liste que vous souhaitez supprimer. 

**Pour supprimer une liste d'entités de confiance**

1. Exécutez [DeleteTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteTrustedEntitySet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez supprimer cette liste d'entités de confiance. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. 

1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante : 

   ```
   aws guardduty delete-trusted-entity-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --trusted-entity-set-id d4b94fc952d6912b8f3060768example
   ```

   `detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez supprimer la liste des entités de confiance, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.

**Pour désactiver les listes d'entités menaçantes**

1. Exécutez [DeleteThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatEntitySet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez supprimer cette liste d'entités menaçantes. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. 

1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante : 

   ```
   aws guardduty delete-threat-entity-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --threat-entity-set-id d4b94fc952d6912b8f3060768example
   ```

   `detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez supprimer la liste des entités menaçantes, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.

**Pour supprimer une liste d'adresses IP fiables**

1. Exécutez [Supprimer IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteIPSet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez supprimer cette liste d'adresses IP fiables. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. 

1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante et en vous assurant de `detector-id` remplacer le par l'ID de détecteur du compte membre pour lequel vous allez supprimer la liste d'adresses IP fiables.

   ```
   aws guardduty delete-ip-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --ip-set-id d4b94fc952d6912b8f3060768example
   ```

   `detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez supprimer la liste des entités menaçantes, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.

**Pour supprimer la liste des adresses IP des menaces**

1. Exécutez [DeleteThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatIntelSet.html). Assurez-vous `detectorId` de fournir le compte membre pour lequel vous souhaitez supprimer cette liste d'adresses IP de menaces. `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. 

1. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante et en vous assurant de `detector-id` remplacer le par l'ID du détecteur du compte membre pour lequel vous allez supprimer la liste des adresses IP des menaces.

   ```
   aws guardduty delete-threat-intel-set \
   --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
   --threat-intel-set-id d4b94fc952d6912b8f3060768example
   ```

   `detector-id`Remplacez-le par l'ID du détecteur du compte membre pour lequel vous allez supprimer la liste des entités menaçantes, ainsi que par d'autres valeurs d'espace réservé qui le sont*shown in red*.

------

# Exportation des GuardDuty résultats générés vers des compartiments Amazon S3
<a name="guardduty_exportfindings"></a>

GuardDuty conserve les résultats générés pendant une période de 90 jours. GuardDuty exporte les résultats actifs vers Amazon EventBridge (EventBridge). Vous pouvez éventuellement exporter les résultats générés vers un bucket Amazon Simple Storage Service (Amazon S3). Cela vous aidera à suivre les données historiques relatives aux activités potentiellement suspectes de votre compte et à évaluer si les mesures correctives recommandées ont été efficaces.

Tous les nouveaux résultats actifs GuardDuty générés sont automatiquement exportés environ 5 minutes après leur génération. Vous pouvez définir la fréquence à laquelle les mises à jour des résultats actifs sont exportées EventBridge. La fréquence que vous sélectionnez s'applique à l'exportation de nouvelles occurrences de résultats existants vers EventBridge votre compartiment S3 (lorsqu'il est configuré) et Detective (lorsqu'il est intégré). Pour plus d'informations sur la manière dont GuardDuty agrège plusieurs occurrences de résultats existants, voir[GuardDuty recherche d'une agrégation](finding-aggregation.md).

Lorsque vous configurez les paramètres pour exporter les résultats vers un compartiment Amazon S3, GuardDuty utilise AWS Key Management Service (AWS KMS) pour chiffrer les données des résultats dans votre compartiment S3. Cela nécessite que vous ajoutiez des autorisations à votre compartiment S3 et à la AWS KMS clé afin que GuardDuty vous puissiez les utiliser pour exporter les résultats dans votre compte.

**Topics**
+ [Considérations](#guardduty-export-findings-considerations)
+ [Étape 1 — Autorisations requises pour exporter les résultats](#guardduty_exportfindings-permissions)
+ [Étape 2 — Attacher une politique à votre clé KMS](#guardduty-exporting-findings-kms-policy)
+ [Étape 3 — Attacher une politique au compartiment Amazon S3](#guardduty_exportfindings-s3-policies)
+ [Étape 4 - Exportation des résultats vers un compartiment S3 (console)](#guardduty_exportfindings-new-bucket)
+ [Étape 5 — Définition de la fréquence d'exportation des résultats actifs mis à jour](#guardduty_exportfindings-frequency)

## Considérations
<a name="guardduty-export-findings-considerations"></a>

Avant de passer aux prérequis et aux étapes nécessaires à l'exportation des résultats, tenez compte des concepts clés suivants :
+ **Les paramètres d'exportation sont régionaux** : vous devez configurer les options d'exportation dans chaque région que vous utilisez GuardDuty.
+ **Exportation des résultats vers des compartiments Amazon S3 situés dans différents compartiments Régions AWS (entre régions)** : GuardDuty prend en charge les paramètres d'exportation suivants :
  + Votre compartiment ou objet Amazon S3 et votre AWS KMS clé doivent appartenir au même Région AWS.
  + Pour les résultats générés dans une région commerciale, vous pouvez choisir d'exporter ces résultats vers un compartiment S3 dans n'importe quelle région commerciale. Toutefois, vous ne pouvez pas exporter ces résultats vers un compartiment S3 dans une région optionnelle.
  + Pour les résultats générés dans une région optionnelle, vous pouvez choisir d'exporter ces résultats vers la même région optionnelle où ils ont été générés ou vers une région commerciale. Toutefois, vous ne pouvez pas exporter les résultats d'une région optionnelle vers une autre région optionnelle.
+ **Autorisations d'exportation des résultats** : pour configurer les paramètres d'exportation des résultats actifs, votre compartiment S3 doit disposer des autorisations GuardDuty permettant de télécharger des objets. Vous devez également disposer d'une AWS KMS clé qui GuardDuty peut être utilisée pour chiffrer les résultats.
+ **Les résultats archivés ne sont pas exportés** : le comportement par défaut est que les résultats archivés, y compris les nouvelles instances de résultats supprimés, ne sont pas exportés. 

  Lorsqu'une GuardDuty découverte est générée en tant qu'*archive*, vous devez la *désarchiver*. Cela fait passer le **statut de recherche du filtre** à **Actif**. GuardDuty exporte les mises à jour des résultats non archivés existants en fonction de votre configuration[Étape 5 — Fréquence d'exportation des résultats](#guardduty_exportfindings-frequency).
+ GuardDuty le **compte administrateur peut exporter les résultats générés dans les comptes membres associés** — Lorsque vous configurez les résultats d'exportation dans un compte administrateur, tous les résultats des comptes membres associés générés dans la même région sont également exportés vers le même emplacement que celui que vous avez configuré pour le compte administrateur. Pour de plus amples informations, veuillez consulter [Comprendre la relation entre le compte GuardDuty administrateur et les comptes membres](administrator_member_relationships.md).

## Étape 1 — Autorisations requises pour exporter les résultats
<a name="guardduty_exportfindings-permissions"></a>

Lorsque vous configurez les paramètres d'exportation des résultats, vous sélectionnez un compartiment Amazon S3 dans lequel vous pouvez stocker les résultats et une AWS KMS clé à utiliser pour le chiffrement des données. Outre les autorisations relatives aux GuardDuty actions, vous devez également être autorisé à effectuer les actions suivantes pour configurer correctement les paramètres d'exportation des résultats :
+ `s3:GetBucketLocation`
+ `s3:PutObject`

Si vous devez exporter les résultats vers un préfixe spécifique de votre compartiment Amazon S3, vous devez également ajouter les autorisations suivantes au rôle IAM :
+ `s3:GetObject`
+ `s3:ListBucket`

## Étape 2 — Attacher une politique à votre clé KMS
<a name="guardduty-exporting-findings-kms-policy"></a>

GuardDuty chiffre les données de résultats de votre compartiment en utilisant AWS Key Management Service. Pour configurer correctement les paramètres, vous devez d'abord GuardDuty autoriser l'utilisation d'une clé KMS. Vous pouvez accorder les autorisations en [attachant la stratégie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) à votre clé KMS. 

Lorsque vous utilisez une clé KMS provenant d'un autre compte, vous devez appliquer la politique en matière de clés en vous connectant au Compte AWS propriétaire de la clé. Lorsque vous configurez les paramètres pour exporter les résultats, vous aurez également besoin de l'ARN de la clé du compte propriétaire de la clé.

**Pour modifier la politique de clé KMS GuardDuty afin de chiffrer vos résultats exportés**

1. Ouvrez la AWS KMS console à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Sélectionnez une clé KMS existante ou suivez les étapes de [création d'une nouvelle clé](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) dans le *guide du AWS Key Management Service développeur*, que vous utiliserez pour chiffrer les résultats exportés.
**Note**  
Votre clé KMS et le compartiment Amazon S3 doivent être identiques. Région AWS 

   Vous pouvez utiliser le même compartiment S3 et la même paire de clés KMS pour exporter les résultats depuis n'importe quelle région applicable. Pour plus d'informations, voir [Considérations](#guardduty-export-findings-considerations) pour exporter les résultats d'une région à l'autre.

1. Dans la section **Key policy** (Politique de clé), choisissez **Edit** (Modifier). 

   Si **Basculer vers l'affichage des politiques** est affiché, choisissez-le pour afficher la **politique clé**, puis choisissez **Modifier**. 

1. Copiez le bloc de politique suivant dans votre politique de clé KMS, pour GuardDuty autoriser l'utilisation de votre clé.

   ```
   {    
       "Sid": "AllowGuardDutyKey",
       "Effect": "Allow",
       "Principal": {
           "Service": "guardduty.amazonaws.com"
       },
       "Action": "kms:GenerateDataKey",
       "Resource": "KMS key ARN",
       "Condition": {
           "StringEquals": {
               "aws:SourceAccount": "123456789012",
               "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	
           }
       }
   }
   ```

1. Modifiez la politique en remplaçant les valeurs suivantes mises en forme **red**dans l'exemple de stratégie : 

   1. *KMS key ARN*Remplacez-le par le Amazon Resource Name (ARN) de la clé KMS. Pour localiser l'ARN de la clé, consultez la section [Trouver l'ID et l'ARN de la clé](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) dans le *guide du AWS Key Management Service développeur*.

   1. *123456789012*Remplacez-le par l' Compte AWS identifiant du GuardDuty compte qui exporte les résultats.

   1. Remplacez *Region2* par l' Région AWS endroit où les GuardDuty résultats sont générés.

   1. Remplacez *SourceDetectorID* par le GuardDuty compte `detectorID` de la région spécifique où les résultats ont été générés.

      `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**Note**  
Si vous l'utilisez GuardDuty dans une région optionnelle, remplacez la valeur du « Service » par le point de terminaison régional de cette région. Par exemple, si vous utilisez GuardDuty dans la région Moyen-Orient (Bahreïn) (me-south-1), remplacez par. `"Service": "guardduty.amazonaws.com"` `"Service": "guardduty.me-south-1.amazonaws.com"` Pour plus d'informations sur les points de terminaison pour chaque région optionnelle, consultez la section [GuardDuty Points de terminaison](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) et quotas.

1. Si vous avez ajouté la déclaration de politique avant la déclaration finale, ajoutez une virgule avant d'ajouter cette déclaration. Assurez-vous que la syntaxe JSON de votre politique de clé KMS est valide.

   Choisissez **Enregistrer**.

1. (Facultatif) copiez l'ARN de la clé dans un bloc-notes pour l'utiliser dans les étapes ultérieures.

## Étape 3 — Attacher une politique au compartiment Amazon S3
<a name="guardduty_exportfindings-s3-policies"></a>

Ajoutez des autorisations au compartiment Amazon S3 vers lequel vous allez exporter les résultats afin de GuardDuty pouvoir télécharger des objets dans ce compartiment S3. Indépendamment de l'utilisation d'un compartiment Amazon S3 appartenant à votre compte ou à un autre Compte AWS, vous devez ajouter ces autorisations.

Si, à un moment donné, vous décidez d'exporter les résultats vers un autre compartiment S3, pour continuer à exporter les résultats, vous devez ajouter des autorisations à ce compartiment S3 et reconfigurer les paramètres d'exportation des résultats.

Si vous ne possédez pas encore de compartiment Amazon S3 dans lequel vous souhaitez exporter ces résultats, consultez la section [Création d'un compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) dans le *guide de l'utilisateur Amazon S3*.

### Pour associer des autorisations à votre politique de compartiment S3
<a name="bucket-policy"></a>

1. Effectuez les étapes décrites dans la section [Pour créer ou modifier une politique de compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) dans le *guide de l'utilisateur d'Amazon S3*, jusqu'à ce que la page **Modifier la politique de compartiment** apparaisse.

1. L'**exemple de politique** montre comment accorder GuardDuty l'autorisation d'exporter les résultats vers votre compartiment Amazon S3. Si vous modifiez le chemin après avoir configuré les résultats de l'exportation, vous devez modifier la politique pour autoriser le nouvel emplacement.

   Copiez l'**exemple de politique** suivant et collez-le dans l'**éditeur de politique Bucket**.

   Si vous avez ajouté la déclaration de politique avant la déclaration finale, ajoutez une virgule avant d'ajouter cette déclaration. Assurez-vous que la syntaxe JSON de votre politique de clé KMS est valide.

   **Exemple de stratégie de compartiment S3**

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "Allow GetBucketLocation",
               "Effect": "Allow",
               "Principal": {
                   "Service": "guardduty.amazonaws.com"
               },
               "Action": "s3:GetBucketLocation",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "123456789012",
                       "aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"	
   
                   }
               }
           },
           {
               "Sid": "Allow PutObject",
               "Effect": "Allow",
               "Principal": {
                   "Service": "guardduty.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "123456789012",
                       "aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"	
   
                   }
               }
           },
           {
               "Sid": "Deny unencrypted object uploads",
               "Effect": "Deny",
               "Principal": {
                   "Service": "guardduty.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
               "Condition": {
                   "StringNotEquals": {
                       "s3:x-amz-server-side-encryption": "aws:kms"
                   }
               }
           },
           {
               "Sid": "Deny incorrect encryption header",
               "Effect": "Deny",
               "Principal": {
                   "Service": "guardduty.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
               "Condition": {
                   "StringNotEquals": {
                   "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
                   }
               }
           },
           {
               "Sid": "Deny non-HTTPS access",
               "Effect": "Deny",
               "Principal": "*",
               "Action": "s3:*",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
               "Condition": {
                   "Bool": {
                       "aws:SecureTransport": "false"
                   }
               }
           }
       ]
   }
   ```

------

1. Modifiez la politique en remplaçant les valeurs suivantes mises en forme **red**dans l'exemple de stratégie : 

   1. *Amazon S3 bucket ARN*Remplacez-le par le nom de ressource Amazon (ARN) du compartiment Amazon S3. Vous trouverez l'**ARN du bucket** sur la page **Modifier la politique du bucket** de la [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)console.

   1. *123456789012*Remplacez-le par l' Compte AWS identifiant du GuardDuty compte qui exporte les résultats.

   1. Remplacez *us-east-2* par l' Région AWS endroit où les GuardDuty résultats sont générés.

   1. Remplacez *SourceDetectorID* par le GuardDuty compte `detectorID` de la région spécifique où les résultats ont été générés.

      `detectorId`Pour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page **Paramètres** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou exécutez l'[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

   1. Remplacez une *[optional prefix]* partie de la valeur de l'*S3 bucket ARN/[optional prefix]*espace réservé par un dossier facultatif vers lequel vous souhaitez exporter les résultats. Pour plus d'informations sur l'utilisation des préfixes, consultez la section [Organisation des objets à l'aide de préfixes](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html) dans le guide de l'*utilisateur Amazon S3*.

      Lorsque vous fournissez un emplacement de dossier facultatif qui n'existe pas encore, vous ne GuardDuty créerez cet emplacement que si le compte associé au compartiment S3 est le même que le compte exportant les résultats. Lorsque vous exportez des résultats vers un compartiment S3 appartenant à un autre compte, l'emplacement du dossier doit déjà exister.

   1. Remplacez-le *KMS key ARN* par le Amazon Resource Name (ARN) de la clé KMS associée au chiffrement des résultats exportés vers le compartiment S3. Pour localiser l'ARN de la clé, consultez la section [Trouver l'ID et l'ARN de la clé](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) dans le *guide du AWS Key Management Service développeur*.
**Note**  
Si vous l'utilisez GuardDuty dans une région optionnelle, remplacez la valeur du « Service » par le point de terminaison régional de cette région. Par exemple, si vous utilisez GuardDuty dans la région Moyen-Orient (Bahreïn) (me-south-1), remplacez par. `"Service": "guardduty.amazonaws.com"` `"Service": "guardduty.me-south-1.amazonaws.com"` Pour plus d'informations sur les points de terminaison pour chaque région optionnelle, consultez la section [GuardDuty Points de terminaison](https://docs.aws.amazon.com/general/latest/gr/guardduty.html) et quotas.

1. Choisissez **Enregistrer**.

## Étape 4 - Exportation des résultats vers un compartiment S3 (console)
<a name="guardduty_exportfindings-new-bucket"></a>

GuardDuty vous permet d'exporter les résultats vers un compartiment existant dans un autre Compte AWS.

Lorsque vous créez un nouveau compartiment S3 ou que vous choisissez un compartiment existant dans votre compte, vous pouvez ajouter un préfixe facultatif. Lors de la configuration des résultats d'exportation, GuardDuty crée un nouveau dossier dans le compartiment S3 pour vos résultats. Le préfixe sera ajouté à la structure de dossiers par défaut créée. GuardDuty Par exemple, le format du préfixe `/AWSLogs/123456789012/GuardDuty/Region` facultatif. 

Le chemin complet de l'objet S3 sera`amzn-s3-demo-bucket/prefix-name/UUID.jsonl.gz`. Le `UUID` est généré de manière aléatoire et ne représente pas l'ID du détecteur ou l'ID de recherche.

**Important**  
La clé KMS doit se trouver dans la même région que le compartiment S3.

Avant de terminer ces étapes, assurez-vous d'avoir attaché les politiques correspondantes à votre clé KMS et à votre compartiment S3 existant.

**Pour configurer les résultats de l'exportation**

1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Dans le panneau de navigation, sélectionnez **Settings** (Paramètres).

1. Sur la page **Paramètres**, sous **Options d'exportation des résultats**, pour le **compartiment S3**, choisissez **Configurer maintenant** (ou **Modifier**, selon les besoins).

1. Pour l'**ARN du compartiment S3**, entrez le****bucket ARN****. Pour trouver l'ARN du compartiment, consultez [la section Affichage des propriétés d'un compartiment S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html) dans le *guide de l'utilisateur Amazon S3*.

1. Pour l'**ARN de la clé KMS**, entrez le ****key ARN****. Pour localiser l'ARN de la clé, consultez la section [Trouver l'ID et l'ARN de la clé](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) dans le *guide du AWS Key Management Service développeur*.

1. 

**Joindre des politiques**
   + Procédez comme suit pour associer la politique du compartiment S3. Pour de plus amples informations, veuillez consulter [Étape 3 — Attacher une politique au compartiment Amazon S3](#guardduty_exportfindings-s3-policies).
   + Effectuez les étapes pour joindre la politique de clé KMS. Pour de plus amples informations, veuillez consulter [Étape 2 — Attacher une politique à votre clé KMS](#guardduty-exporting-findings-kms-policy).

1. Choisissez **Enregistrer**.

## Étape 5 — Définition de la fréquence d'exportation des résultats actifs mis à jour
<a name="guardduty_exportfindings-frequency"></a>

Configurez la fréquence d'exportation des résultats actifs mis à jour en fonction de votre environnement. Par défaut, les conclusions mises à jour sont exportées toutes les 6 heures. Cela signifie que tous les résultats mis à jour après l'exportation la plus récente sont inclus dans la nouvelle exportation. Si les résultats mis à jour sont exportés toutes les 6 heures et que l'exportation se produit à 12 h, tout résultat mis à jour après 12 h est exporté à 18 h.

**Pour définir la fréquence**

1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Cliquez sur **Paramètres**.

1. Dans la section **Options d'exportation des résultats** choisissez **Fréquence des résultats mis à jour**. Cela définit la fréquence d'exportation des résultats actifs mis à jour à la fois vers Amazon S3 EventBridge et vers Amazon S3. Sélectionnez parmi les éléments suivants :
   + **Mise à jour EventBridge et S3 toutes les 15 minutes**
   + **Mise à jour EventBridge et S3 toutes les 1 heure**
   + **Mise à jour EventBridge et S3 toutes les 6 heures (par défaut)**

1. Sélectionnez **Enregistrer les modifications**.

# Traitement des GuardDuty résultats avec Amazon EventBridge
<a name="guardduty_findings_eventbridge"></a>

GuardDuty publie (envoie) automatiquement les résultats sous forme d'événements à Amazon EventBridge (anciennement Amazon CloudWatch Events), un service de bus d'événements sans serveur. EventBridge fournit un flux de données en temps quasi réel provenant d'applications et de services à des cibles telles que les rubriques AWS Lambda , les fonctions Amazon Simple Notification Service (Amazon SNS) et les flux Amazon Kinesis. Pour plus d'informations, consultez le [guide de EventBridge l'utilisateur Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).

EventBridge permet le suivi et le traitement automatisés des GuardDuty résultats en recevant [des événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/aws-events.html). EventBridge reçoit des événements à la fois pour les résultats nouvellement générés et pour les résultats agrégés, lorsque les occurrences ultérieures d'un résultat existant sont combinées avec l'original. Chaque GuardDuty découverte se voit attribuer un identifiant de recherche et GuardDuty crée un EventBridge événement pour chaque découverte avec un identifiant de recherche unique. Pour plus d'informations sur le fonctionnement de l'agrégation GuardDuty, voir[GuardDuty recherche d'une agrégation](finding-aggregation.md). 

Outre la surveillance et le traitement automatisés, l'utilisation de EventBridge permet de conserver à long terme les données de vos résultats. GuardDuty conserve les résultats pendant 90 jours. Vous pouvez ainsi envoyer les données des résultats vers votre plateforme de stockage préférée et les stocker aussi longtemps que vous le souhaitez. EventBridge Pour conserver les résultats pendant une plus longue période, GuardDuty les supports[Exportation des résultats générés vers Amazon S3](guardduty_exportfindings.md).

**Topics**
+ [EventBridge fréquence des notifications en GuardDuty](#eventbridge-freq-notifications-gdu)
+ [Configuration d'une rubrique et d'un point de terminaison Amazon SNS](#guardduty-eventbridge-set-up-sns-and-endpoint)
+ [Utilisation EventBridge avec GuardDuty](#eventbridge_events)
+ [Création d'une règle EventBridge](#guardduty_eventbridge_severity_notification)
+ [EventBridge règle pour les environnements multi-comptes](#guardduty_findings_eventbridge_multiaccount)

## Comprendre la fréquence des EventBridge notifications dans GuardDuty
<a name="eventbridge-freq-notifications-gdu"></a>

Cette section explique à quelle fréquence vous recevez des notifications de recherche EventBridge et comment mettre à jour la fréquence pour les occurrences de recherche ultérieures.

**Notifications pour les résultats nouvellement générés avec un identifiant de recherche unique**  
GuardDuty envoie ces notifications en temps quasi réel lorsqu'il génère un résultat avec un identifiant de recherche unique. La notification inclut toutes les occurrences ultérieures de ces occurrences ultérieures de cet identifiant de recherche pendant le processus de génération de notification.  
La fréquence des notifications pour les nouvelles découvertes se fait en temps quasi réel. Par défaut, vous ne pouvez pas modifier cette fréquence.

**Notifications pour les occurrences de résultat ultérieures**  
GuardDuty regroupe en un seul événement toutes les occurrences ultérieures d'un type de découverte particulier qui se produisent dans les intervalles de 6 heures. Seul un compte administrateur peut mettre à jour la fréquence des EventBridge notifications pour les occurrences de détection ultérieures. Un compte membre ne peut pas mettre à jour cette fréquence pour son propre compte. Par exemple, si le compte d' GuardDuty administrateur délégué met à jour la fréquence à une heure, tous les comptes membres seront également soumis à une fréquence de notification d'une heure concernant les occurrences de recherche ultérieures envoyées à EventBridge. Pour de plus amples informations, veuillez consulter [Plusieurs comptes sur Amazon GuardDuty](guardduty_accounts.md).  
En tant que compte administrateur, vous pouvez personnaliser la fréquence par défaut des notifications concernant les occurrences de recherche ultérieures. Les valeurs possibles sont 15 minutes, 1 heure ou, par défaut, 6 heures. Pour plus d'informations sur la configuration de la fréquence de ces notifications, veuillez consulter [Étape 5 — Définition de la fréquence d'exportation des résultats actifs mis à jour](guardduty_exportfindings.md#guardduty_exportfindings-frequency).

Pour plus de détails sur la réception de EventBridge notifications par le compte administrateur pour les comptes membres, consultez[EventBridge règle pour les environnements multi-comptes](#guardduty_findings_eventbridge_multiaccount).

## Configurer une rubrique et un point de terminaison Amazon SNS (e-mail, Slack et Amazon Chime)
<a name="guardduty-eventbridge-set-up-sns-and-endpoint"></a>

Amazon Simple Notification Service (Amazon SNS) est un service entièrement géré qui permet aux éditeurs de transmettre des messages aux abonnés. *Les éditeurs communiquent de manière asynchrone avec les abonnés en envoyant des messages à un sujet.* Une rubrique est un point d'accès logique et un canal de communication qui vous permettent de regrouper plusieurs points de terminaison tels qu' AWS Lambda Amazon Simple Queue Service (Amazon SQS), HTTP/S et une adresse e-mail. 

**Note**  
Vous pouvez ajouter une rubrique Amazon SNS à votre règle d' EventBridge événement préférée pendant ou après la création de la règle.

**Création d'une rubrique Amazon SNS**  
Pour commencer, vous devez d'abord configurer une rubrique dans Amazon SNS et ajouter un point de terminaison. Pour créer un sujet, suivez les étapes décrites à l'[étape 1 : Création d'un sujet](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) du manuel *Amazon Simple Notification Service Developer Guide*. Une fois le sujet créé, copiez l'ARN du sujet dans le presse-papiers. Vous allez utiliser l'ARN de cette rubrique pour continuer avec l'une des configurations préférées. 

Choisissez une méthode préférée pour déterminer où vous souhaitez envoyer les données de GuardDuty recherche.

------
#### [ Email setup ]

**Pour configurer un point de terminaison de messagerie**

Ensuite[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge), l'étape suivante consiste à créer un abonnement à cette rubrique. Suivez les étapes décrites à l'[étape 2 : Création d'un abonnement à une rubrique Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html) dans le guide du *développeur Amazon Simple Notification Service*. 

1. Pour l'**ARN du sujet**, utilisez l'ARN du sujet créé à l'[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge)étape. L'ARN de la rubrique ressemble à ce qui suit :

   ```
   arn:aws:sns:us-east-2:123456789012:your_topic
   ```

1. Pour **Protocol**, sélectionnez **Email**.

1. Pour **Endpoint**, entrez l'adresse e-mail à laquelle vous souhaitez recevoir les notifications d'Amazon SNS.

   Une fois l'abonnement créé, vous devrez le confirmer par le biais de votre client de messagerie.

------
#### [ Slack setup ]

**Pour configurer un développeur Amazon Q dans un client d'applications de chat - Slack**

Ensuite[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge), l'étape suivante consiste à configurer le client pour Slack.

Suivez les étapes décrites dans la section [Tutoriel : Commencez à utiliser Slack](https://docs.aws.amazon.com/chatbot/latest/adminguide/slack-setup.html) dans le *guide de l'administrateur des applications de chat Amazon Q destiné aux développeurs*.

------
#### [ Chime setup ]

**Pour configurer un développeur Amazon Q dans un client d'applications de chat - Chime**

Ensuite[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge), l'étape suivante consiste à configurer Amazon Q Developer pour Chime.

Suivez les étapes décrites dans [Tutoriel : Démarrez avec Amazon Chime](https://docs.aws.amazon.com/chatbot/latest/adminguide/chime-setup.html.html) dans le Guide de l'*administrateur des applications de chat Amazon Q destiné aux développeurs*.

------

## Utiliser Amazon EventBridge pour les GuardDuty résultats
<a name="eventbridge_events"></a>

Avec EventBridge, vous créez des règles pour spécifier les événements que vous souhaitez surveiller. Ces règles spécifient également les services et applications cibles qui peuvent effectuer des actions automatisées si ces événements se produisent. Une [cible](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) est une destination (une ressource ou un point de terminaison) qui EventBridge envoie un événement lorsque celui-ci correspond au modèle d'événement défini dans la règle. Chaque événement est un objet JSON conforme au EventBridge schéma des AWS événements et contenant une représentation JSON d'un résultat. Vous pouvez adapter la règle pour n'envoyer que les événements répondant à certains critères. Pour plus d'informations, consultez [rubrique Schéma JSON]. Les données des résultats étant structurées sous la forme d'un [EventBridgeévénement](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-and-event-patterns.html), vous pouvez surveiller, traiter et agir en fonction des résultats en utilisant d'autres applications, services et outils.

Pour recevoir des notifications concernant les GuardDuty résultats basés sur des événements, vous devez créer une EventBridge règle et un objectif pour GuardDuty. Cette règle permet EventBridge d'envoyer des notifications pour les résultats GuardDuty générés à la cible spécifiée dans la règle. 

**Note**  
EventBridge et les CloudWatch événements sont le même service sous-jacent et la même API. Cependant, il EventBridge inclut des fonctionnalités supplémentaires qui vous aident à recevoir des événements provenant d'applications SaaS (Software as a Service) et de vos propres applications. Le service sous-jacent et l'API étant identiques, le schéma des événements pour les GuardDuty résultats est également le même.

**Comment GuardDuty fonctionnent les résultats archivés et non archivés EventBridge**

Pour les résultats que vous archivez manuellement, les occurrences initiales et suivantes de ces résultats (générées une fois l'archivage terminé) sont envoyées en EventBridge fonction d'une fréquence de notification spécifique. Pour de plus amples informations, veuillez consulter [Comprendre la fréquence des EventBridge notifications dans GuardDuty](#eventbridge-freq-notifications-gdu).

Pour les résultats qui sont automatiquement archivés avec[Règles de suppression](findings_suppression-rule.md), les occurrences initiales et suivantes de ces résultats (générées une fois l'archivage terminé) *ne sont pas* envoyées à EventBridge. Vous pouvez consulter ces résultats archivés automatiquement dans la GuardDuty console.

### Schéma d'événement
<a name="guardduty_findings_eventbridge_format"></a>

Un [modèle d'événement](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) définit les données EventBridge utilisées pour déterminer s'il faut envoyer l'événement à la cible. L' EventBridgeévénement pour GuardDuty a le format suivant :

```
{
         "version": "0",
         "id": "cd2d702e-ab31-411b-9344-793ce56b1bc7",
         "detail-type": "GuardDuty Finding",
         "source": "aws.guardduty",
         "account": "111122223333",
         "time": "1970-01-01T00:00:00Z",
         "region": "us-east-1",
         "resources": [],
         "detail": {GUARDDUTY_FINDING_JSON_OBJECT}
        }
```

La `detail` valeur renvoie les détails JSON d'une seule constatation sous forme d'objet, au lieu de renvoyer l'intégralité de la syntaxe de réponse aux *résultats*, qui prend en charge plusieurs résultats dans un tableau.

Pour obtenir la liste complète de tous les paramètres inclus`GUARDDUTY_FINDING_JSON_OBJECT`, voir [GetFindings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFindings.html#API_GetFindings_ResponseSyntax). Le paramètre `id` qui apparaît dans `GUARDDUTY_FINDING_JSON_OBJECT` est l'ID du résultat décrit précédemment.

## Création d'une EventBridge règle pour les GuardDuty résultats
<a name="guardduty_eventbridge_severity_notification"></a>

Les procédures suivantes expliquent comment utiliser la EventBridge console Amazon et le [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) pour créer une EventBridge règle pour les GuardDuty résultats. La règle détecte les EventBridge événements qui utilisent le schéma et le modèle d'événements pour GuardDuty les résultats, et elle envoie ces événements à une AWS Lambda fonction pour traitement.

AWS Lambda est un service de calcul que vous pouvez utiliser pour exécuter du code sans provisionner ni gérer de serveurs. Vous empaqueter votre code et le télécharger en AWS Lambda tant que fonction *Lambda*. AWS Lambda exécute ensuite la fonction lorsque la fonction est invoquée. Une fonction peut être appelée manuellement, par vous, automatiquement en réponse à des événements, ou en réponse à des demandes d'applications ou de services. Pour en savoir plus sur la création et l'invocation de fonctions Lambda, consultez le [Guide du développeur AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html).

Choisissez votre méthode préférée pour créer une EventBridge règle qui envoie votre GuardDuty résultat à une cible.

------
#### [ Console ]

Suivez ces étapes pour utiliser la EventBridge console Amazon afin de créer une règle qui envoie automatiquement tous les événements de GuardDuty recherche à une fonction Lambda pour traitement. La règle utilise les paramètres par défaut pour les règles qui s'exécutent lorsque des événements spécifiques sont reçus. Pour en savoir plus sur les paramètres des règles ou pour savoir comment créer une règle utilisant des paramètres personnalisés, consultez la section [Création de règles qui réagissent aux événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) dans le *guide de EventBridge l'utilisateur Amazon*. 

Avant de créer cette règle, créez la fonction Lambda que vous souhaitez que la règle utilise comme cible. Lorsque vous créez la règle, vous devez spécifier cette fonction comme étant la cible de la règle. Votre cible peut également être le sujet SNS que vous avez créé précédemment. Pour de plus amples informations, veuillez consulter [Configurer une rubrique et un point de terminaison Amazon SNS (e-mail, Slack et Amazon Chime)](#guardduty-eventbridge-set-up-sns-and-endpoint).

**Pour créer une règle d'événement à l'aide de la console**

1. Connectez-vous à la EventBridge console Amazon AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).

1. Dans le volet de navigation, sous **Bus**, sélectionnez **Rules**.

1. Dans la section **Rules** (Règles) choisissez **Create rule** (Créer une règle).

1. Sur la page **détaillée de définition de la règle**, procédez comme suit :

   1. Pour **Name** (Nom), entrez le nom de la règle.

   1. (Facultatif) **Dans Description**, entrez une brève description de la règle.

   1. Pour le **bus d'événements**, assurez-vous que la **valeur par défaut** est sélectionnée et que **l'option Activer la règle sur le bus d'événements sélectionné** est activée.

   1. Pour **Type de règle**, choisissez **Règle avec un modèle d’événement**.

   1. Lorsque vous avez terminé, choisissez **Suivant**.

1. Sur la page **Créer un modèle d'événement**, procédez comme suit :

   1. Dans **Source de l'événement**, choisissez **AWS des événements ou des événements EventBridge partenaires**.

   1. (Facultatif) Pour **Exemple d'événement**, consultez un exemple d'événement de recherche GuardDuty pour savoir ce qu'un événement peut contenir. Pour ce faire, choisissez **AWS des événements**. Ensuite, dans la section **Exemples d'événements**, choisissez **GuardDutyFinding**.

   1. 

**Option 1 - Utilisation d'un formulaire de modèle, un modèle qui EventBridge fournit**

      Dans la section **Modèle d'événement**, vous pouvez effectuer les opérations suivantes : 

      1. Pour **Méthode de création**, sélectionnez **Utiliser le formulaire de modèle**.

      1. Pour **Event source (Source d’événement)**, choisissez **Services AWS**.

      1. Pour **Service AWS**, choisissez **GuardDuty**.

      1. Pour **Type d'événement**, choisissez **GuardDuty Finding (Résultat Amazon Macie)**.

      Lorsque vous avez terminé, choisissez **Suivant**.

   1. 

**Option 2 - Utilisation d'un modèle d'événement personnalisé dans JSON**

      Dans la section **Modèle d'événement**, vous pouvez effectuer les opérations suivantes : 

      1. Pour **Méthode de création**, sélectionnez **Modèle personnalisé (éditeur JSON)**.

      1. Pour le **modèle d'événement**, collez le code JSON personnalisé suivant qui créera une alerte pour les résultats moyens, élevés et critiques. Pour de plus amples informations, veuillez consulter [Niveaux de gravité des résultats](guardduty_findings-severity.md).

         ```
         {
           "source": [
             "aws.guardduty"
           ],
           "detail-type": [
             "GuardDuty Finding"
           ],
           "detail": {
             "severity": [
               4,
               4.0,
               4.1,
               4.2,
               4.3,
               4.4,
               4.5,
               4.6,
               4.7,
               4.8,
               4.9,
               5,
               5.0,
               5.1,
               5.2,
               5.3,
               5.4,
               5.5,
               5.6,
               5.7,
               5.8,
               5.9,
               6,
               6.0,
               6.1,
               6.2,
               6.3,
               6.4,
               6.5,
               6.6,
               6.7,
               6.8,
               6.9,
               7,
               7.0,
               7.1,
               7.2,
               7.3,
               7.4,
               7.5,
               7.6,
               7.7,
               7.8,
               7.9,
               8,
               8.0,
               8.1,
               8.2,
               8.3,
               8.4,
               8.5,
               8.6,
               8.7,
               8.8,
               8.9,
               9,
               9.0,
               9.1,
               9.2,
               9.3,
               9.4,
               9.5,
               9.6,
               9.7,
               9.8,
               9.9,
               10,
               10.0
             ]
           }
         }
         ```

      Lorsque vous avez terminé, choisissez **Suivant**.

1. 

**Option A - Sélection de Service AWS - AWS Lambda comme cible**

   Sur la page **Sélectionner une ou plusieurs cibles**, procédez comme suit :

   1. Pour les **types de cibles**, sélectionnez **Service AWS**.

   1. Pour **Select a target** (Sélectionner une cible), choisissez **Lambda Function** (Fonction Lambda). Ensuite, pour **Function**, choisissez la fonction Lambda à laquelle vous souhaitez envoyer des événements de recherche.

   1. Pour **Configurer la version/l'alias**, entrez les paramètres de version ou d'alias pour la fonction Lambda cible.

   1. (Facultatif) Pour **Paramètres supplémentaires**, entrez des paramètres personnalisés pour spécifier les données d'événement que vous souhaitez envoyer à la fonction Lambda. Vous pouvez également spécifier comment gérer les événements qui ne sont pas transmis correctement à la fonction.

   1. Lorsque vous avez terminé, choisissez **Suivant**.

1. 

**Option B - Sélection du sujet SNS comme cible**

   Sur la page **Sélectionner une ou plusieurs cibles**, procédez comme suit :

   1. Pour les **types de cibles**, sélectionnez **Service AWS**.

   1. Pour **Sélectionner une cible**, choisissez **Rubrique SNS**. Ensuite, pour **Emplacement cible**, sélectionnez l'option appropriée en fonction de votre emplacement cible. Pour **Rubrique**, choisissez le nom de la rubrique SNS que vous avez créée.

   1. Développer **Additional settings (Paramètres supplémentaires)**. Pour **Configurer l'entrée cible**, choisissez **Transformateur d'entrée**.

   1. Choisissez **Configure input transformer** (Configurer le transformateur d'entrée). 

   1. Copiez le code suivant et collez-le dans le champ **Chemin d'entrée** sous la section **Transformateur d'entrée cible**.

      ```
      {
          "severity": "$.detail.severity",
          "Account_ID": "$.detail.accountId",
          "Finding_ID": "$.detail.id",
          "Finding_Type": "$.detail.type",
          "region": "$.region",
          "Finding_description": "$.detail.description"
      }
      ```

   1. Copiez le code suivant et collez-le dans le champ **Modèle** pour formater l'e-mail.

      ```
      "You have a severity <severity> GuardDuty finding type <Finding_Type> in the <region> Region."
      "Finding Description:"
      "<Finding_description>. "
      "For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=<region>#/findings?search=id%3D<Finding_ID>"
      ```

1. Sur la page **Configurer les balises**, entrez éventuellement une ou plusieurs balises à attribuer à la règle. Ensuite, sélectionnez **Suivant**.

1. Sur la page **Réviser et créer**, passez en revue les paramètres de la règle et vérifiez qu'ils sont corrects.

   Pour modifier un paramètre, choisissez **Modifier** dans la section contenant le paramètre, puis entrez le paramètre correct. Vous pouvez également utiliser les onglets de navigation pour accéder à la page contenant un paramètre.

1. Lorsque vous avez terminé de vérifier les paramètres, choisissez **Create rule**.

------
#### [ API ]

La procédure suivante montre comment utiliser des AWS CLI commandes pour créer une EventBridge règle et une cible pour GuardDuty. Plus précisément, la procédure explique comment créer une règle qui permet d' EventBridge envoyer des événements pour tous les résultats GuardDuty générés à une AWS Lambda fonction en tant que cible pour la règle. 

**Note**  
Dans cet exemple, nous utilisons une fonction Lambda comme cible pour la règle qui se déclenche. EventBridge Vous pouvez également configurer d'autres AWS ressources comme cibles à déclencher EventBridge. GuardDuty et EventBridge prennent en charge les types de cibles suivants : les instances Amazon EC2, les flux Amazon Kinesis, les tâches Amazon ECS, les machines d'état AWS Step Functions , `run` la commande et les cibles intégrées. Pour plus d'informations, consultez [PutTargets](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutTargets.html)le *Amazon EventBridge API Reference*.

**Pour créer une règle et une cible**

1. Pour créer une règle permettant d' EventBridge envoyer des événements pour tous les résultats GuardDuty générés, exécutez la commande EventBridge CLI suivante.

   ```
   aws events put-rule --name your-rule-name --event-pattern "{\"source\":[\"aws.guardduty\"]}"
   ```

   Vous pouvez personnaliser davantage votre règle afin qu'elle indique d' EventBridge envoyer des événements uniquement pour un sous-ensemble des GuardDuty résultats générés. Ce sous-ensemble est basé sur le ou les attributs de résultat qui sont spécifiés dans la règle. Par exemple, utilisez la commande CLI suivante pour créer une règle qui permet EventBridge d'envoyer des événements uniquement pour les GuardDuty résultats présentant une gravité de 5 ou 8 : 

   ```
   aws events put-rule --name your-rule-name --event-pattern "{\"source\":[\"aws.guardduty\"],\"detail-type\":[\"GuardDuty Finding\"],\"detail\":{\"severity\":[5,8]}}"
   ```

   À cette fin, vous pouvez utiliser n'importe quelle valeur de propriété disponible dans le JSON pour les GuardDuty résultats. 

1. Pour associer une fonction Lambda comme cible à la règle que vous avez créée à l'étape 1, exécutez la commande CloudWatch CLI suivante.

   ```
   aws events put-targets --rule your-target-name --targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:your_function
   ```

   Assurez-vous de remplacer `your-target-name` la commande ci-dessus par votre fonction Lambda réelle pour les GuardDuty événements.

1. Pour ajouter les autorisations requises pour invoquer la cible, exécutez la commande d'interface de ligne de commande Lambda suivante.

   ```
   aws lambda add-permission --function-name your-target-name --statement-id 1 --action 'lambda:InvokeFunction' --principal events.amazonaws.com
   ```

   Assurez-vous de remplacer `your_function` la commande ci-dessus par votre fonction Lambda réelle pour les GuardDuty événements.

------

## EventBridge règle pour les GuardDuty environnements multi-comptes
<a name="guardduty_findings_eventbridge_multiaccount"></a>

Lorsque vous utilisez un compte d' GuardDuty administrateur délégué, vous pouvez consulter les événements générés dans les comptes des membres et prendre des mesures à l'aide d'autres applications et services. EventBridge les règles de votre compte administrateur seront déclenchées en fonction des résultats applicables de vos comptes de membre. Si vous configurez les notifications de recherche via EventBridge votre compte administrateur, vous recevrez des notifications de résultats à la fois de votre compte et des comptes des membres. Par exemple, vous pouvez l'utiliser EventBridge pour envoyer des types spécifiques de résultats à une fonction Lambda qui traite et envoie les données à votre système de gestion des incidents et des événements de sécurité (SIEM).

Vous pouvez identifier le compte membre d'où provient la GuardDuty recherche à l'aide du `accountId` champ contenant les détails JSON de la recherche. Pour créer une règle d'événement personnalisée pour des comptes de membres spécifiques, créez une nouvelle règle et utilisez le modèle suivant dans Modèle **d'événement**. Remplacez *123456789012* par `accountId` celui du compte membre pour lequel vous souhaitez déclencher l'événement.

```
{
  "source": [
    "aws.guardduty"
  ],
  "detail-type": [
    "GuardDuty Finding"
  ],
  "detail": {
    "accountId": [
      "123456789012"
    ]
  }
}
```

**Note**  
Cet exemple crée une règle qui correspond à tous les résultats de l'ID de compte spécifié. Vous pouvez inclure plusieurs comptes IDs en les séparant par des virgules, conformément à la syntaxe JSON.

# Comprendre CloudWatch les journaux et les raisons du manque de ressources lors de l'analyse Malware Protection for EC2
<a name="malware-protection-auditing-scan-logs"></a>

GuardDuty Malware Protection for EC2 publie des événements dans votre groupe de CloudWatch journaux Amazon**/aws/guardduty/malware-scan-events**. Pour chacun des événements liés à l'analyse des programmes malveillants, vous pouvez surveiller l'état et le résultat de l'analyse de vos ressources concernées. Certaines ressources Amazon EC2 et certains volumes Amazon EBS ont peut-être été ignorés lors de l'analyse Malware Protection for EC2. 

## CloudWatch Journaux d'audit dans GuardDuty Malware Protection for EC2
<a name="mp-audit-cloudwatch-events"></a>

Trois types d'événements de scan sont pris en charge dans le groupe de **journaux/aws/guardduty/malware-scan-events** CloudWatch .


| Nom de l'événement de scan de protection contre les programmes malveillants pour EC2 | Explication | 
| --- | --- | 
|  `EC2_SCAN_STARTED`  |  Créé lorsqu'une protection contre les GuardDuty programmes malveillants pour EC2 lance le processus d'analyse des programmes malveillants, par exemple en préparant la prise d'un instantané d'un volume EBS.  | 
|  `EC2_SCAN_COMPLETED`  |  Créé lorsque l'analyse GuardDuty Malware Protection for EC2 est terminée pour au moins un des volumes EBS de la ressource concernée. Cet événement inclut également l'`snapshotId` qui appartient au volume EBS analysé. Une fois l'analyse terminée, son résultat de l'analyse sera `CLEAN`, `THREATS_FOUND` ou `NOT_SCANNED`.  | 
|  `EC2_SCAN_SKIPPED`  |  Créé lorsque le scan GuardDuty Malware Protection for EC2 ignore tous les volumes EBS de la ressource affectée. Pour identifier le motif de l'omission, sélectionnez l'événement correspondant et consultez les détails. Pour plus d'informations sur les motifs de l'omission, veuillez consulter [Motifs de l'omission des ressources lors de l'analyse des logiciels malveillants](#mp-scan-skip-reasons) ci-dessous.   | 

**Note**  
Si vous utilisez un AWS Organizations, CloudWatch les événements enregistrés depuis les comptes des membres dans Organizations sont publiés à la fois dans le compte administrateur et dans le groupe de journaux du compte membre.

Choisissez votre méthode d'accès préférée pour consulter et interroger CloudWatch les événements.

------
#### [ Console ]

1. Connectez-vous à la CloudWatch console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Dans le panneau de navigation, choisissez **Journaux**, **Groupes de journaux**. Choisissez le groupe de journaux**/aws/guardduty/malware-scan-events** pour afficher les événements d'analyse relatifs à GuardDuty Malware Protection for EC2. 

   Pour exécuter une requête, choisissez **Log Insights**. 

   Pour plus d'informations sur l'exécution d'une requête, consultez [Analyser les données des CloudWatch journaux avec Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) dans le *guide de CloudWatch l'utilisateur Amazon*.

1. Choisissez **Analyser l'ID** pour surveiller les détails de la ressource concernée et les résultats de logiciels malveillants. Par exemple, vous pouvez exécuter la requête suivante pour filtrer les événements du CloudWatch journal en utilisant`scanId`. Assurez-vous d'utiliser votre propre code valide*scan-id*.

   ```
   fields @timestamp, @message, scanRequestDetails.scanId as scanId
   | filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
   | sort @timestamp asc
   ```

------
#### [ API/CLI ]
+ Pour travailler avec des groupes de journaux, consultez [la section Rechercher dans les entrées de journal AWS CLIà l'aide](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html#search-log-entries-cli) du *guide de CloudWatch l'utilisateur Amazon*. 

  Choisissez le groupe de journaux**/aws/guardduty/malware-scan-events** pour afficher les événements d'analyse relatifs à GuardDuty Malware Protection for EC2. 
+ Pour afficher et filtrer les événements du journal, consultez [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html)et [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html), respectivement, dans le *Amazon CloudWatch API Reference*. 

------

## GuardDuty Protection contre les logiciels malveillants pour la conservation des journaux EC2
<a name="malware-scan-event-log-retention"></a>

La période de conservation des journaux par défaut pour le groupe de journaux**/aws/guardduty/malware-scan-events** est de 90 jours, après quoi les événements du journal sont automatiquement supprimés. Pour modifier la politique de conservation des journaux de votre groupe de CloudWatch journaux, consultez la section [Conservation des données des CloudWatch journaux des modifications dans Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) du *guide de CloudWatch l'utilisateur Amazon* ou [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html)dans le manuel *Amazon CloudWatch API Reference*.

## Motifs de l'omission des ressources lors de l'analyse des logiciels malveillants
<a name="mp-scan-skip-reasons"></a>

Lors des événements liés à l'analyse des programmes malveillants, certaines ressources EC2 et certains volumes EBS peuvent avoir été ignorés pendant le processus d'analyse. Le tableau suivant répertorie les raisons pour lesquelles GuardDuty Malware Protection for EC2 peut ne pas analyser les ressources. Le cas échéant, suivez les étapes proposées pour résoudre ces problèmes et analysez ces ressources la prochaine fois que GuardDuty Malware Protection for EC2 lancera une analyse des programmes malveillants. Les autres problèmes sont utilisés pour vous informer sur le cours des événements et ne sont pas exploitables. 


| Motifs de l'omission | Explication | Étapes proposées | 
| --- | --- | --- | 
|  `RESOURCE_NOT_FOUND`  | Le `resourceArn` code fourni pour lancer l'analyse des programmes malveillants à la demande est introuvable dans votre AWS environnement. | Validez l'`resourceArn` de votre instance ou charge de travail de conteneur Amazon EC2, puis réessayez. | 
|  `ACCOUNT_INELIGIBLE`  | L'identifiant du AWS compte à partir duquel vous avez essayé de lancer une analyse des programmes malveillants à la demande n'est pas activé GuardDuty. | Vérifiez que GuardDuty c'est activé pour ce AWS compte. Lorsque vous GuardDuty en activez une nouvelle Région AWS , la synchronisation peut prendre jusqu'à 20 minutes. | 
|  `UNSUPPORTED_KEY_ENCRYPTION`  |  GuardDuty Malware Protection for EC2 prend en charge les volumes à la fois non chiffrés et chiffrés à l'aide d'une clé gérée par le client. Il ne prend pas en charge l'analyse des volumes EBS chiffrés à l'aide du [chiffrement Amazon EBS](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/EBSEncryption.html).  À l'heure actuelle, il existe une différence régionale selon laquelle cette raison d'omission ne s'applique pas. Pour plus d'informations à ce sujet Régions AWS, consultez[Disponibilité des fonctionnalités propres à la région](guardduty_regions.md#gd-regional-feature-availability).  |  Remplacez votre clé de chiffrement par une clé gérée par le client. Pour plus d'informations sur les types de chiffrement pris GuardDuty en charge, consultez[Volumes Amazon EBS pris en charge pour l'analyse des programmes malveillants](gdu-malpro-supported-volumes.md).  | 
|  `EXCLUDED_BY_SCAN_SETTINGS`  |  L'instance EC2 ou le volume EBS a été exclu lors de l'analyse des programmes malveillants. Il existe deux possibilités : soit la balise a été ajoutée à la liste d'inclusion, mais la ressource n'est pas associée à cette balise, soit la balise a été ajoutée à la liste d'exclusion et la ressource est associée à cette balise, soit la balise `GuardDutyExcluded` est définie sur `true` pour cette ressource.  |  Mettez à jour vos options d'analyse ou les balises associées à votre ressource Amazon EC2. Pour de plus amples informations, veuillez consulter [Options d'analyse avec balises définies par l'utilisateur](malware-protection-customizations.md#mp-scan-options).  | 
|  `UNSUPPORTED_VOLUME_SIZE`  |  Le volume est supérieur à 2 048 Go.  |  Non exploitable.  | 
|  `NO_VOLUMES_ATTACHED`  |  GuardDuty Malware Protection for EC2 a détecté l'instance dans votre compte, mais aucun volume EBS n'a été attaché à cette instance pour procéder à l'analyse.  |  Non exploitable.  | 
|  `UNABLE_TO_SCAN`  |  Il s'agit d'une erreur de service interne.  |  Non exploitable.  | 
|  `SNAPSHOT_NOT_FOUND`  |  Les instantanés créés à partir des volumes EBS et partagés avec le compte de service sont introuvables, et GuardDuty Malware Protection for EC2 n'a pas pu poursuivre l'analyse.  |  Vérifiez que CloudTrail les instantanés n'ont pas été supprimés intentionnellement.  | 
|  `SNAPSHOT_QUOTA_REACHED`  |  Vous avez atteint le volume maximum autorisé d'instantanés pour chaque région. Cela empêche non seulement de retenir, mais également de créer d'autres instantanés.   |  Vous pouvez soit supprimer les anciens instantanés, soit demander une augmentation du quota. Vous pouvez consulter la limite par défaut pour les instantanés par région et la procédure à suivre pour demander une augmentation de quota sous [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html#limits_ebs) dans le *Guide de référence général AWS *.  | 
|  `MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED`  | Plus de 11 volumes EBS ont été attachés à une instance EC2. GuardDuty Malware Protection for EC2 a analysé les 11 premiers volumes EBS, obtenus en les triant par ordre alphabétique. `deviceName` | Non exploitable. | 
|  `UNSUPPORTED_PRODUCT_CODE_TYPE`  | GuardDuty peut scanner la majorité des instances avec `productCode` as`marketplace`. Certaines instances de Marketplace peuvent ne pas être éligibles à la numérisation. GuardDuty ignorera ces instances et enregistrera la raison sous le nom`UNSUPPORTED_PRODUCT_CODE_TYPE`. Ce soutien varie selon AWS GovCloud (US) les régions de Chine. Pour de plus amples informations, veuillez consulter [Disponibilité des fonctionnalités propres à la région](guardduty_regions.md#gd-regional-feature-availability). Pour plus d'informations, consultez [Paid AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/paid-amis.html) dans le guide de l'*utilisateur Amazon EC2*. Pour plus d'informations sur `productCode`, veuillez consulter [https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html) dans la *Référence API d'Amazon EC2*.   | Non exploitable. | 

# Signalement des faux positifs dans Malware Protection for EC2
<a name="malware-protection-false-positives"></a>

GuardDuty La protection contre les programmes malveillants pour les EC2 scans peut identifier un fichier inoffensif dans votre EC2 instance Amazon ou votre charge de travail de conteneur comme étant malveillant ou dangereux. Pour améliorer votre expérience avec Malware Protection for EC2 et le GuardDuty service, vous pouvez signaler des résultats faussement positifs si vous pensez qu'un fichier identifié comme malveillant ou dangereux lors d'une analyse ne contient pas réellement de logiciel malveillant.

**Pour signaler un résultat d'analyse des EC2 programmes malveillants d'Amazon comme étant un faux positif**

Pour lancer le processus, contactez Support. Procédez comme suit pour fournir des informations sur la ressource numérisée :

1. Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Choisissez **EC2 Malware Scans**.

1. Choisissez une analyse pour voir son **ID de résultat**.

1. Communiquez l'**ID de résultat**. Vous devez également fournir le hachage SHA-256 du fichier. Cela est nécessaire pour s'assurer que GuardDuty Malware Protection for EC2 a reçu le bon fichier.

1. L' Support équipe vous fournira une URL présignée Amazon Simple Storage Service (Amazon S3) que vous pourrez utiliser pour télécharger le fichier potentiellement malveillant et le hachage SHA-256. Pour plus d'informations sur les étapes de chargement de l'objet numérisé, consultez la section [Chargement d'objets avec présigné URLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html) dans le guide de l'*utilisateur Amazon S3*.

1. Après avoir chargé le fichier, informez-en l' Support équipe.

   Ils Support fourniront un accusé de réception après réception du fichier. Les membres de l'équipe de GuardDuty service analyseront votre envoi et prendront les mesures appropriées pour améliorer votre expérience avec Malware Protection for EC2 et le GuardDuty service. L' Support équipe continuera de fournir des mises à jour sur l'état de votre dossier. GuardDuty conserve votre objet S3 pendant 30 jours maximum.

# Signaler le résultat de l'analyse d'un objet S3 comme faux positif dans Malware Protection for S3
<a name="report-malware-protection-s3-false-positives"></a>

Une protection contre les programmes malveillants pour le scan S3 peut identifier un objet comme potentiellement malveillant ou dangereux. Si vous pensez que l'objet S3 indiqué ne contient aucun logiciel malveillant, signalez le résultat de cette analyse de programmes malveillants comme un faux positif.

Vous pouvez envoyer un faux rapport positif même si vous utilisez Malware Protection for S3 de manière indépendante. Dans ce cas, n' GuardDuty est pas conçu pour générer un résultat. Pour plus d'informations sur la vérification de l'état du scan et de l'état des résultats, consultez[Surveillance des scans d'objets S3](monitoring-malware-protection-s3-scans-gdu.md).

**Pour signaler le résultat d'une analyse des programmes malveillants d'un objet S3 comme étant un faux positif**

Pour lancer le processus, contactez Support. Procédez comme suit pour fournir des informations sur l'objet S3 scanné :

1. Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. En fonction de votre cas d'utilisation, choisissez les étapes appropriées :

------
#### [ Using Malware Protection for S3 with GuardDuty ]

   1. Dans le volet de navigation, choisissez **Conclusions**.

   1. Sur la **page Résultats**, sélectionnez le résultat faussement positif pour en afficher les détails.

   1. En vérifiant les détails de la recherche, fournissez l'**ID de recherche**, **la région**, le **nom du** compartiment S3 protégé et la **clé** de l'objet scanné. 

      Dans les détails du **chemin de l'élément**, indiquez le **hachage** de l'objet. Cela est nécessaire pour s'assurer que le fichier reçu GuardDuty est correct.

------
#### [ Using Malware Protection for S3 independently ]

   Indiquez le nom du compartiment S3 protégé, le nom de l'objet scanné et le Région AWS.

------

1. L' Support équipe vous fournira une URL présignée Amazon Simple Storage Service (Amazon S3) que vous pourrez utiliser pour télécharger le fichier et le hachage potentiellement malveillants. Pour plus d'informations sur les étapes de chargement de l'objet numérisé, consultez la section [Chargement d'objets avec présigné URLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html) dans le guide de l'*utilisateur Amazon S3*.

1. Après avoir chargé l'objet S3, informez l' Support équipe.

Ils Support fourniront un accusé de réception de l'objet. Les membres de l'équipe de GuardDuty service analyseront votre envoi et prendront les mesures appropriées pour améliorer votre expérience avec Malware Protection for S3 et le GuardDuty service. L' Support équipe continuera de fournir des mises à jour sur l'état de votre dossier. GuardDuty conserve votre objet S3 pendant 30 jours maximum.

# Signalement de faux positifs dans Malware Protection for Backup
<a name="malware-protection-backup-false-positives"></a>

Pour améliorer votre expérience avec GuardDuty Malware Protection for Backup, vous pouvez signaler des faux positifs et des faux négatifs potentiels.

****Pour signaler un faux positif ou un faux négatif potentiel identifié dans Malware Protection for Backup****

Pour lancer le processus, contactez Support. Procédez comme suit pour fournir des informations sur la ressource numérisée :

1. Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Choisissez **Analyses des logiciels malveillants**.

1. Choisissez une analyse pour voir son **ID de résultat**.

1. Communiquez l'**ID de résultat**. Vous devez également fournir le hachage SHA-256 du fichier. Cela est nécessaire pour s'assurer que le fichier reçu GuardDuty est correct. Veuillez également indiquer la région d'où vous allez fournir l'échantillon.

1. L' Support équipe vous fournira une URL présignée Amazon Simple Storage Service (Amazon S3) que vous utiliserez pour télécharger le fichier potentiellement malveillant et le hachage SHA-256. Pour plus d'informations sur les étapes de téléchargement de la ressource numérisée, consultez la section [Chargement d'objets avec présigné URLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html) dans le guide de l'*utilisateur Amazon S3*.

1. Après avoir chargé le fichier, informez-en l' Support équipe.

   Ils Support fourniront un accusé de réception après réception du fichier. Les membres GuardDuty de l'équipe de service analyseront votre envoi et prendront les mesures appropriées pour améliorer votre expérience avec Malware Protection for EC2. L' Support équipe continuera de fournir des mises à jour sur l'état de votre dossier. GuardDuty conserve votre objet S3 pendant 30 jours maximum.